Pelotonova strasti pokračují s únikem vystavení soukromých uživatelských dat

Jak se objevují zprávy o možném narušení dat, rok 2021 Pelotonu se mění od špatného k horšímu. Zdá se, že porušení pochází z odhaleného rozhraní API, které umožnilo komukoli získat soukromé informace členů Pelotonu, včetně těch, kteří mají nejvíce soukromé nastavení dat.

Aby toho nebylo málo, bezpečnostní výzkumník zodpovědně odhalil objev exponovaného API společnosti Peloton zpět v lednu 2021 pomocí standardní lhůty 90 let - ale zdá se, že Peloton opravil chybu v časovém rámci.

Údaje společnosti Peloton údajně vystavené předplatiteli

Poprvé nahlášeno Zackem Whittakerem pro TechCrunch, exponované API umožnilo komukoli stahovat data soukromých uživatelských účtů ze serverů Peloton, bez ohledu na stav účtu. Podle popisu Whittakera:

V polovině mého pondělního odpoledního tréninku minulý týden jsem dostal zprávu od bezpečnostního výzkumníka se snímkem obrazovky s mými daty účtu Peloton. Můj profil Peloton je nastaven jako soukromý a seznam mých přátel je záměrně nulový, takže nikdo nemůže zobrazit můj profil, věk, město nebo historii tréninku.

Zpráva přišla od Jana Mastersa, bezpečnostního výzkumníka v Partneři pro testování pera. Masters zjistil, že může na servery Pelotonu odesílat neoprávněné žádosti o API. Žádosti vrátily data včetně:

• ID uživatelů
• ID instruktora
• Skupinové členství
• Umístění
• Statistiky cvičení
• Pohlaví a věk
• Pokud jsou ve studiu nebo ne

Po odhalení možného narušení dat společnost Masters zodpovědně odhalila propustné API společnosti Peloton. Většina odpovědných zveřejnění dává poskytovateli služeb 90 dní na opravu chyby, což Masters udělal.

Zdá se však, že Peloton zpočátku omezil přístup API na své členy, místo aby tuto chybu zabezpečení zcela opravil. V tomto okamžiku si mohl kdokoli vytvořit nový účet s měsíčním členstvím a použít jej pro přístup k API.

Navzdory dalším kontaktům společnosti Pen Test Partners Peloton nereagoval, dokud společnost zabývající se výzkumem v oblasti bezpečnosti sáhla po Pelotonovi s žádostí o další vysvětlení.

Krátce poté, co byl navázán kontakt s tiskovou kanceláří v Pelotonu, jsme měli kontakt přímo z Pelotonova CISO, který byl novým poštou. Zranitelnosti byly z velké části odstraněny do 7 dnů. Je škoda, že na naše zveřejnění nebylo odpovězeno včas, a také škoda, že jsme museli zapojit novináře, aby nás někdo poslouchal.

TechCrunch držel zprávy o úniku API, dokud Peloton nevyřešil problém, který má od té doby.

Příbuzný: Peloton vs. Nordictrack vs. Echelon: Nejlepší trenažér pro halové kolo

Peloton's 2021 On a Bumpy Track

Peloton byl častým návštěvníkem titulků, a to ne vždy ze správných důvodů. Běžecký pás Peloton Tread + je odvolán po tragické smrti malého dítěte a několika případech zranění. Současně existují výzvy k dalšímu vyšetřování dalších produktů Peloton za účelem kontroly bezpečnostních problémů.

Příbuzný: Peloton bojuje za svolání bezpečnosti svého běhounu + běžeckého pásu

Pokud vlastníte běžecký pás Peloton Tread +, byl produkt oficiálně stažen 5. května 2021. The Stránka Peloton Recall poskytuje více informací o obdržení plné náhrady a vrácení běžeckého pásu.

Po smrti dítěte vydává Peloton nové bezpečnostní upozornění

Incident způsobil, že generální ředitel společnosti Peloton John Foley napsal zákazníkům e-mail.

Přečtěte si další

O autorovi