Pelotonove težave nadaljujejo z uhajanjem podatkov o zasebnih uporabnikih

Pelotonovo leto 2021 se premika iz slabega v slabše, saj se pojavljajo poročila o morebitni kršitvi podatkov. Zdi se, da kršitev izvira iz izpostavljenega API-ja, ki je vsem omogočil, da potegnejo zasebne podatke članov Pelotona, vključno s tistimi z najbolj nastavitvami zasebnih podatkov.

Kar je še poslabšalo, je raziskovalec varnosti Pelotonu odgovorno razkril odkritje izpostavljenega API-ja januarja 2021 z uporabo standardnega 90-roka - vendar se zdi, da je Peloton napako odpravil v roku.

Domnevno je Peloton izpostavil podatke o naročnikih

Prvič poročal Zack Whittaker za TechCrunch, izpostavljeni API je vsem omogočil, da s strežnikov Peloton povlečejo podatke zasebnega uporabniškega računa, ne glede na stanje računa. Po Whittakerjevem opisu:

Na polovici moje ponedeljkove popoldanske vadbe prejšnji teden sem od varnostnega raziskovalca prejel sporočilo s posnetkom zaslona podatkov mojega računa Peloton. Moj profil Peloton je nastavljen na zaseben, seznam prijateljev pa je namerno nič, tako da nihče ne more videti mojega profila, starosti, mesta ali zgodovine vadbe.

Poročilo je prispeval Jan Masters, raziskovalec varnosti pri Pen Test partnerji. Mojstri so ugotovili, da lahko na strežnike Peloton pošlje nepooblaščene zahteve za API. Zahteve so vrnile podatke, vključno z:

• ID-ji uporabnikov
• ID inštruktorja
• Članstvo v skupini
• Lokacija
• Statistika vadbe
• Spol in starost
• Če so v studiu ali ne

Po odkritju morebitne kršitve podatkov je Masters Pelotonu odgovorno razkril uhajajoči API. Najbolj odgovorna razkritja dajejo ponudniku storitev 90 dni časa, da odpravi napako, kar je Masters storil.

Kaže pa, da je Peloton namesto, da bi ranljivost v celoti popravil, sprva le omejil dostop do API-ja svojim članom. Takrat je lahko vsakdo ustvaril nov račun z mesečnim članstvom in ga uporabil za dostop do API-ja.

Kljub nadaljnjim stikom s partnerji Pen Test Partners se Peloton ni odzival, dokler se podjetje za varnostne raziskave ni obrnilo na Peloton za nadaljnja pojasnila.

Kmalu po vzpostavitvi stika s tiskovnim uradom v Pelotonu smo imeli neposreden stik s Pelotonovim CISO, ki je bil nov na delovnem mestu. Ranljivosti so bile večinoma odpravljene v 7 dneh. Škoda, da se na naše razkritje nismo pravočasno odzvali, prav tako pa tudi sramota, da smo morali novinarja, da smo ga poslušali.

TechCrunch je hranil novice o uhajanju API-jev, dokler Peloton ni rešil težave, kar je od takrat naprej.

Sorodno: Peloton Vs. Nordictrack Vs. Echelon: najboljši trener koles v zaprtih prostorih

Peloton 2021 na neravni stezi

Peloton je bil pogost obiskovalec naslovov in ne vedno iz pravih razlogov. Tekalna steza Peloton Tread + je odpoklicana po tragični smrti majhnega otroka in večkratnih poškodbah. Hkrati se zahteva nadaljnja preiskava drugih izdelkov Peloton, da se preverijo varnostna vprašanja.

Sorodno: Peloton se bori proti varnostnemu odpoklicu tekalne steze + tekalne steze

Če ste lastnik tekalne steze Peloton Tread +, je bil izdelek uradno odpoklican 5. maja 2021. The Stran za odpoklic Peloton ponuja več informacij o prejemu celotnega povračila in vrnitvi tekalne steze.

Po smrti otroka Peloton izda novo varnostno obvestilo

Zaradi incidenta je izvršni direktor Pelotona John Foley kupcem poslal e-poštno sporočilo.

Preberite Naprej

O avtorju