Проблемите на Peloton продължават с изтичането на информация, разкриваща частни потребителски данни

2021 г. на Peloton преминава от лошо към по-лошо, тъй като се появяват съобщения за потенциално нарушаване на данните. Изглежда, че нарушението произтича от открит API, който позволява на всеки да извлече личната информация на членовете на Peloton, включително тези с най-много настройки за лични данни.

Влошавайки нещата, изследователят по сигурността разкри на Peloton откритието на открития API още през януари 2021 г., използвайки стандартния 90-краен срок - но изглежда, че Peloton е отстранил грешката в рамките на времето.

Предполага се, че Peloton е изложил данни за абонати

Първо съобщено от Zack Whittaker за TechCrunch, изложеният API позволява на всеки да изтегля данни от частни потребителски акаунти от сървърите на Peloton, независимо от състоянието на акаунта. Според описанието на Whittaker:

По средата на тренировката ми в понеделник следобед миналата седмица получих съобщение от изследовател по сигурността с екранна снимка на данните за моя акаунт в Peloton. Профилът ми в Peloton е настроен на личен и списъкът на приятелите ми умишлено е нулев, така че никой не може да преглежда профила ми, възрастта, града или историята на тренировките.

instagram viewer

Докладът идва от Ян Мастърс, изследовател по сигурността в Партньори за тестване на писалки. Мастърс установи, че той може да прави неоторизирани заявки за API към сървърите на Peloton. Заявките връщат данни, включително:

• Потребителски идентификатори
• Идентификатори на инструктор
• Членство в група
• Местоположение
• Статистика на тренировките
• Пол и възраст
• Ако са в студиото или не

След като разкри потенциалното нарушение на данните, Masters отговори отговорно на течащия API на Peloton. Повечето отговорни разкрития предоставят на доставчика на услуги 90 дни, за да поправи грешката, което Masters направи.

Изглежда обаче, че вместо да изправи изцяло уязвимостта, Peloton първоначално просто ограничи достъпа до API на своите членове. В този момент всеки може да създаде нов акаунт с месечно членство и да го използва за достъп до API.

Въпреки по-нататъшния контакт от Pen Test Partners, Peloton не реагира, докато компанията за изследване на сигурността не се свърже с Peloton за допълнителни обяснения.

Малко след като беше осъществен контакт с пресцентъра в Пелотон, ние имахме контакт директно от CISO на Пелотон, който беше нов на поста. Уязвимостите бяха основно отстранени в рамките на 7 дни. Срамно е, че на разкриването ни не е отговорено своевременно, а също така е срам, че трябваше да включим журналист, за да бъдем изслушани.

TechCrunch държеше новината за изтичането на API, докато Peloton не разреши проблема, който има оттогава.

Свързани: Peloton Vs. Nordictrack Vs. Ешелон: Най-добрият треньор за велосипеди на закрито

Пелотон 2021 г. по неравен път

Peloton е чест посетител на заглавията и не винаги по правилните причини. Бегащата пътека Peloton Tread + е припомнена след трагичната смърт на малко дете и множеството случаи на наранявания. В същото време има призиви за по-нататъшно разследване на други продукти на Peloton за проверка на проблеми със сигурността.

Свързани: Peloton се бори със сигурно изземване на своя протектор + бягаща пътека

Ако притежавате бягаща пътека Peloton Tread +, продуктът е официално изтеглен на 5 май 2021 година. The Страница за отзоваване на Peloton предоставя повече информация за получаване на пълно възстановяване и връщане на вашата бягаща пътека.

След смъртта на дете Peloton издава ново известие за безопасност

Инцидентът накара изпълнителния директор на Peloton Джон Фоули да напише имейл до клиентите.

Прочетете Напред

За автора