Rok 2021 Pelotonu sa pohybuje od zlého k horšiemu, keď sa objavia správy o možnom narušení údajov. Zdá sa, že porušenie vychádza z odhaleného rozhrania API, ktoré umožňovalo komukoľvek získať súkromné ​​informácie členov Pelotonu, vrátane tých, ktorí majú najviac súkromných nastavení údajov.

Aby toho nebolo málo, bezpečnostný výskumník zodpovedne zverejnil objav exponovaného API spoločnosti Peloton späť v januári 2021 pomocou štandardného 90-termínu - ale zdá sa, že Peloton opravil chybu v časovom rámci.

Údaje spoločnosti Peloton o údajne vystavených účastníkoch

Prvýkrát hlásil Zack Whittaker pre web TechCrunch, odkryté API umožňovalo komukoľvek získavať údaje o súkromných používateľských účtoch zo serverov Peloton bez ohľadu na stav účtu. Podľa Whittakerovho popisu:

V polovici svojho pondelkového popoludňajšieho tréningu minulý týždeň som dostal správu od bezpečnostného výskumníka so snímkou ​​obrazovky s mojimi údajmi o účte Peloton. Môj profil Peloton je nastavený na súkromný a zoznam mojich priateľov je zámerne nulový, takže si nikto nemôže pozrieť môj profil, vek, mesto ani históriu tréningov.

instagram viewer

Správa pochádzala od Jana Mastersa, bezpečnostného výskumníka spoločnosti Partneri pre testovanie perom. Masters zistil, že môže na servery spoločnosti Peloton odosielať neoprávnené žiadosti o rozhranie API. Žiadosti vrátili údaje vrátane:

  • ID používateľov
  • ID inštruktora
  • Skupinové členstvo
  • Poloha
  • Štatistiky tréningu
  • Pohlavie a vek
  • Ak sú v štúdiu alebo nie

Po odhalení možného narušenia údajov spoločnosť Masters zodpovedne odhalila netesné API spoločnosti Peloton. Najzodpovednejšie zverejnenie poskytuje poskytovateľovi služby 90 dní na opravu chyby, čo spoločnosť Masters urobila.

Zdá sa však, že namiesto úplnej opravy zraniteľnosti Peloton spočiatku iba obmedzil prístup API k svojim členom. V tom okamihu si mohol ktokoľvek vytvoriť nový účet s mesačným členstvom a použiť ho na prístup k API.

Napriek ďalšiemu kontaktu zo strany spoločnosti Pen Test Partners Peloton nereagoval, kým spoločnosť pre bezpečnostný výskum Pelotonovi nepovedala ďalšie vysvetlenie.

Krátko po nadviazaní kontaktu s tlačovou kanceláriou v Pelotone sme mali kontakt priamo z Pelotonovho CISO, ktorý bol poštou nový. Zraniteľnosti boli väčšinou odstránené do 7 dní. Je škoda, že na naše odhalenie nebolo zareagované včas, a tiež škoda, že sme museli zapojiť novinára, aby sme si ho vypočuli.

TechCrunch udržiaval správy o úniku API, kým Peloton nevyriešil problém, ktorý odvtedy má.

Súvisiace: Peloton vs. Nordictrack vs. Echelon: Najlepší tréner na halové bicykle

Peloton's 2021 On a Bumpy Track

Peloton a Americká komisia pre bezpečnosť spotrebných výrobkov oznamujú dobrovoľné stiahnutie výrobkov Peloton’s Tread + a Tread. Ďalšie informácie a účasť na stiahnutí z trhu nájdete na našom serveri # odvolať stránke https://t.co/I0h2yrSEyXpic.twitter.com/9zp2QMyH9x

- Peloton (@onepeloton) 5. mája 2021

Peloton bol častým návštevníkom titulkov, a to nie vždy zo správnych dôvodov. Bežecký pás Peloton Tread + si pripomínajú po tragickej smrti malého dieťaťa a viacerých prípadoch zranení. Zároveň existujú výzvy na ďalšie vyšetrovanie ďalších produktov spoločnosti Peloton s cieľom skontrolovať bezpečnostné problémy.

Súvisiace: Spoločnosť Peloton bojuje za bezpečné stiahnutie svojho behúňa + behúňa

Ak vlastníte bežecký pás Peloton Tread +, produkt bol oficiálne stiahnutý 5. mája 2021. The Stránka Peloton Recall poskytuje viac informácií o získaní úplnej náhrady a vrátení bežiaceho pásu.

Email
Po smrti dieťaťa vydáva Peloton nové bezpečnostné upozornenie

Incident spôsobil, že výkonný riaditeľ spoločnosti Peloton John Foley napísal zákazníkom e-mail.

Prečítajte si Ďalej

Súvisiace témy
  • Bezpečnosť
  • Tech News
  • Šport
  • Porušenie bezpečnosti
  • Fitnes
O autorovi
Gavin Phillips (Uverejnených 843 článkov)

Gavin je Junior Editor pre Windows a vysvetlené technológie, pravidelný prispievateľ do skutočne užitočného podcastu, a bol editorom sesterského webu MakeUseOf zameraného na kryptomeny Blocks Decoded. Má BA (Hons) súčasné písanie s praktikami digitálneho umenia drancované z kopcov Devonu a tiež viac ako desať rokov profesionálnych skúseností s písaním. Má rád veľké množstvo čaju, spoločenských hier a futbalu.

Viac od Gavina Phillipsa

Prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu s technickými tipmi, recenziami, bezplatnými elektronickými knihami a exkluzívnymi ponukami!

Ešte jeden krok…!

V e-maile, ktorý sme vám práve poslali, potvrďte svoju e-mailovú adresu.

.