2021 г. на Peloton преминава от лошо към по-лошо, тъй като се появяват съобщения за потенциално нарушаване на данните. Изглежда, че нарушението произтича от открит API, който позволява на всеки да извлече личната информация на членовете на Peloton, включително тези с най-много настройки за лични данни.
Влошавайки нещата, изследователят по сигурността разкри на Peloton откритието на открития API още през януари 2021 г., използвайки стандартния 90-краен срок - но изглежда, че Peloton е отстранил грешката в рамките на времето.
Предполага се, че Peloton е изложил данни за абонати
Първо съобщено от Zack Whittaker за TechCrunch, изложеният API позволява на всеки да изтегля данни от частни потребителски акаунти от сървърите на Peloton, независимо от състоянието на акаунта. Според описанието на Whittaker:
По средата на тренировката ми в понеделник следобед миналата седмица получих съобщение от изследовател по сигурността с екранна снимка на данните за моя акаунт в Peloton. Профилът ми в Peloton е настроен на личен и списъкът на приятелите ми умишлено е нулев, така че никой не може да преглежда профила ми, възрастта, града или историята на тренировките.
Докладът идва от Ян Мастърс, изследовател по сигурността в Партньори за тестване на писалки. Мастърс установи, че той може да прави неоторизирани заявки за API към сървърите на Peloton. Заявките връщат данни, включително:
- Потребителски идентификатори
- Идентификатори на инструктор
- Членство в група
- Местоположение
- Статистика на тренировките
- Пол и възраст
- Ако са в студиото или не
След като разкри потенциалното нарушение на данните, Masters отговори отговорно на течащия API на Peloton. Повечето отговорни разкрития предоставят на доставчика на услуги 90 дни, за да поправи грешката, което Masters направи.
Изглежда обаче, че вместо да изправи изцяло уязвимостта, Peloton първоначално просто ограничи достъпа до API на своите членове. В този момент всеки може да създаде нов акаунт с месечно членство и да го използва за достъп до API.
Въпреки по-нататъшния контакт от Pen Test Partners, Peloton не реагира, докато компанията за изследване на сигурността не се свърже с Peloton за допълнителни обяснения.
Малко след като беше осъществен контакт с пресцентъра в Пелотон, ние имахме контакт директно от CISO на Пелотон, който беше нов на поста. Уязвимостите бяха основно отстранени в рамките на 7 дни. Срамно е, че на разкриването ни не е отговорено своевременно, а също така е срам, че трябваше да включим журналист, за да бъдем изслушани.
TechCrunch държеше новината за изтичането на API, докато Peloton не разреши проблема, който има оттогава.
Свързани: Peloton Vs. Nordictrack Vs. Ешелон: Най-добрият треньор за велосипеди на закрито
Пелотон 2021 г. по неравен път
Peloton и Американската комисия за безопасност на потребителските продукти обявяват доброволно изземване на продуктите на Peloton’s Tread + и Tread. За повече информация и за участие в отзоваването посетете нашия #припомням си страница https://t.co/I0h2yrSEyXpic.twitter.com/9zp2QMyH9x
- Peloton (@onepeloton) 5 май 2021 г.
Peloton е чест посетител на заглавията и не винаги по правилните причини. Бегащата пътека Peloton Tread + е припомнена след трагичната смърт на малко дете и множеството случаи на наранявания. В същото време има призиви за по-нататъшно разследване на други продукти на Peloton за проверка на проблеми със сигурността.
Свързани: Peloton се бори със сигурно изземване на своя протектор + бягаща пътека
Ако притежавате бягаща пътека Peloton Tread +, продуктът е официално изтеглен на 5 май 2021 година. The Страница за отзоваване на Peloton предоставя повече информация за получаване на пълно възстановяване и връщане на вашата бягаща пътека.
Инцидентът накара изпълнителния директор на Peloton Джон Фоули да напише имейл до клиентите.
Прочетете Напред
- Сигурност
- Технически новини
- Спорт
- Нарушение на сигурността
- Фитнес
Гавин е младши редактор за Windows и обяснените технологии, редовен сътрудник на наистина полезния подкаст и беше редактор на сестринния сайт на MakeUseOf, фокусиран върху крипто, Blocks Decoded. Той има бакалавърска степен (Hons) за съвременно писане с практики за дигитално изкуство, отвлечена от хълмовете на Девън, както и над десетилетие професионален опит в писането. Той се радва на обилни количества чай, настолни игри и футбол.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!
Още една стъпка…!
Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.