Pelotonove strasti pokračujú v úniku informácií o súkromných používateľoch

Rok 2021 Pelotonu sa pohybuje od zlého k horšiemu, keď sa objavia správy o možnom narušení údajov. Zdá sa, že porušenie vychádza z odhaleného rozhrania API, ktoré umožňovalo komukoľvek získať súkromné ​​informácie členov Pelotonu, vrátane tých, ktorí majú najviac súkromných nastavení údajov.

Aby toho nebolo málo, bezpečnostný výskumník zodpovedne zverejnil objav exponovaného API spoločnosti Peloton späť v januári 2021 pomocou štandardného 90-termínu - ale zdá sa, že Peloton opravil chybu v časovom rámci.

Údaje spoločnosti Peloton o údajne vystavených účastníkoch

Prvýkrát hlásil Zack Whittaker pre web TechCrunch, odkryté API umožňovalo komukoľvek získavať údaje o súkromných používateľských účtoch zo serverov Peloton bez ohľadu na stav účtu. Podľa Whittakerovho popisu:

V polovici svojho pondelkového popoludňajšieho tréningu minulý týždeň som dostal správu od bezpečnostného výskumníka so snímkou ​​obrazovky s mojimi údajmi o účte Peloton. Môj profil Peloton je nastavený na súkromný a zoznam mojich priateľov je zámerne nulový, takže si nikto nemôže pozrieť môj profil, vek, mesto ani históriu tréningov.

instagram viewer

Správa pochádzala od Jana Mastersa, bezpečnostného výskumníka spoločnosti Partneri pre testovanie perom. Masters zistil, že môže na servery spoločnosti Peloton odosielať neoprávnené žiadosti o rozhranie API. Žiadosti vrátili údaje vrátane:

• ID používateľov
• ID inštruktora
• Skupinové členstvo
• Poloha
• Štatistiky tréningu
• Pohlavie a vek
• Ak sú v štúdiu alebo nie

Po odhalení možného narušenia údajov spoločnosť Masters zodpovedne odhalila netesné API spoločnosti Peloton. Najzodpovednejšie zverejnenie poskytuje poskytovateľovi služby 90 dní na opravu chyby, čo spoločnosť Masters urobila.

Zdá sa však, že namiesto úplnej opravy zraniteľnosti Peloton spočiatku iba obmedzil prístup API k svojim členom. V tom okamihu si mohol ktokoľvek vytvoriť nový účet s mesačným členstvom a použiť ho na prístup k API.

Napriek ďalšiemu kontaktu zo strany spoločnosti Pen Test Partners Peloton nereagoval, kým spoločnosť pre bezpečnostný výskum Pelotonovi nepovedala ďalšie vysvetlenie.

Krátko po nadviazaní kontaktu s tlačovou kanceláriou v Pelotone sme mali kontakt priamo z Pelotonovho CISO, ktorý bol poštou nový. Zraniteľnosti boli väčšinou odstránené do 7 dní. Je škoda, že na naše odhalenie nebolo zareagované včas, a tiež škoda, že sme museli zapojiť novinára, aby sme si ho vypočuli.

TechCrunch udržiaval správy o úniku API, kým Peloton nevyriešil problém, ktorý odvtedy má.

Súvisiace: Peloton vs. Nordictrack vs. Echelon: Najlepší tréner na halové bicykle

Peloton's 2021 On a Bumpy Track

Peloton bol častým návštevníkom titulkov, a to nie vždy zo správnych dôvodov. Bežecký pás Peloton Tread + si pripomínajú po tragickej smrti malého dieťaťa a viacerých prípadoch zranení. Zároveň existujú výzvy na ďalšie vyšetrovanie ďalších produktov spoločnosti Peloton s cieľom skontrolovať bezpečnostné problémy.

Súvisiace: Spoločnosť Peloton bojuje za bezpečné stiahnutie svojho behúňa + behúňa

Ak vlastníte bežecký pás Peloton Tread +, produkt bol oficiálne stiahnutý 5. mája 2021. The Stránka Peloton Recall poskytuje viac informácií o získaní úplnej náhrady a vrátení bežiaceho pásu.

Po smrti dieťaťa vydáva Peloton nové bezpečnostné upozornenie

Incident spôsobil, že výkonný riaditeľ spoločnosti Peloton John Foley napísal zákazníkom e-mail.

Prečítajte si Ďalej

O autorovi