Nieszczęścia Pelotona nadal występują, gdy wyciek ujawnia prywatne dane użytkownika

Peleton 2021 zmienia się ze złego na gorszy, gdy pojawiają się doniesienia o potencjalnym naruszeniu danych. Wydaje się, że naruszenie to wynika z ujawnionego interfejsu API, który umożliwiał każdemu uzyskanie prywatnych informacji członków Peletonu, w tym tych z najbardziej prywatnymi ustawieniami danych.

Co gorsza, badacz odpowiedzialnie ujawnił Pelotonowi odkrycie ujawnionego API w styczniu 2021 r., używając standardowego terminu 90 lat - ale wygląda na to, że Peloton naprawił błąd w wyznaczonym czasie.

Dane subskrybenta rzekomo ujawnione przez Peloton

Po raz pierwszy zgłoszony przez Zacka Whittakera dla TechCrunch, udostępniony interfejs API umożliwiał każdemu pobieranie danych prywatnych kont użytkowników z serwerów Peloton, bez względu na status konta. Zgodnie z opisem Whittakera:

W połowie mojego popołudniowego treningu w zeszłym tygodniu otrzymałem wiadomość od analityka bezpieczeństwa ze zrzutem ekranu z danymi mojego konta Peloton. Mój profil Peloton jest ustawiony jako prywatny, a lista moich znajomych jest celowo zerowa, więc nikt nie może przeglądać mojego profilu, wieku, miasta ani historii treningów.

instagram viewer

Raport pochodzi od Jana Mastersa, badacza bezpieczeństwa w Partnerzy testów piórkowych. Masters odkrył, że może wysyłać nieautoryzowane żądania API do serwerów Peloton. Żądania zwróciły dane, w tym:

• Identyfikatory użytkowników
• Identyfikatory instruktorów
• Członkostwo w grupie
• Lokalizacja
• Statystyki treningu
• Płeć i wiek
• Czy są w studiu, czy nie

Po odkryciu potencjalnego naruszenia bezpieczeństwa danych Masters odpowiedzialnie ujawnił firmie Peloton nieszczelne API. Większość odpowiedzialnych ujawnień daje dostawcy usług 90 dni na naprawienie błędu, co zrobił Masters.

Wygląda jednak na to, że zamiast całkowicie załatać lukę, Peloton początkowo ograniczył dostęp API do swoich członków. W tym momencie każdy mógł utworzyć nowe konto z miesięcznym członkostwem i użyć go, aby uzyskać dostęp do API.

Pomimo dalszego kontaktu ze strony partnerów Pen Test, Peloton nie odpowiedział, dopóki firma zajmująca się badaniami bezpieczeństwa nie skontaktowała się z Peloton w celu uzyskania dalszych wyjaśnień.

Wkrótce po skontaktowaniu się z biurem prasowym Peletonu, mieliśmy bezpośredni kontakt z CISO Peletonu, który był nowy na stanowisku. Luki zostały w większości naprawione w ciągu 7 dni. Szkoda, że ​​na nasze ujawnienie nie zareagowano w odpowiednim czasie, a także wstyd, że musieliśmy zaangażować dziennikarza, aby nas wysłuchano.

TechCrunch przetrzymał wiadomość o wycieku API, dopóki Peloton nie rozwiązał problemu, który od tamtej pory ma.

Związane z: Peloton Vs. Nordictrack Vs. Echelon: najlepszy trenażer roweru stacjonarnego

Peleton 2021 na wyboistym torze

Peloton często gościł na pierwszych stronach gazet, i to nie zawsze z właściwych powodów. Bieżnia Peloton Tread + jest wycofywana z akcji po tragicznej śmierci małego dziecka i wielokrotnych urazach. Jednocześnie pojawiają się apele o dalsze badanie innych produktów Peloton w celu sprawdzenia pod kątem problemów z bezpieczeństwem.

Związane z: Peleton walczy o bezpieczne wycofanie swojej bieżni + bieżni

Jeśli posiadasz bieżnię Peloton Tread +, produkt został oficjalnie wycofany 5 maja 2021 roku. Plik Strona z przypomnieniem peletonu zawiera więcej informacji na temat otrzymania pełnego zwrotu kosztów i zwrotu bieżni.

Po śmierci dziecka Peloton wydaje nowe ostrzeżenie dotyczące bezpieczeństwa

Incydent spowodował, że dyrektor generalny Peloton, John Foley, napisał e-mail do klientów.

Czytaj dalej

O autorze