Pelotons ulykker fortsætter med lækage, der udsætter private brugerdata

Pelotons 2021 bevæger sig fra dårligt til værre, da rapporter om et potentielt databrud dukker op. Overtrædelsen ser ud til at stamme fra en eksponeret API, der tillod enhver at hente de private oplysninger fra Peloton-medlemmer, inklusive dem med de mest private dataindstillinger.

Gør tingene værre, sikkerhedsforskeren afslørede ansvarligt opdagelsen af ​​den udsatte API til Peloton tilbage i januar 2021 ved hjælp af standardfristen på 90 dage - men det ser ud til, at Peloton løste fejlen inden for tidsrammen.

Peloton angiveligt udsatte abonnentdata

Først rapporteret af Zack Whittaker for TechCrunch, tillod den eksponerede API nogen at hente private brugerkontodata fra Peloton-servere, uanset kontostatus. I henhold til Whittakers beskrivelse:

Halvvejs gennem min træning mandag eftermiddag i sidste uge fik jeg en besked fra en sikkerhedsforsker med et screenshot af mine Peloton-kontodata. Min Peloton-profil er indstillet til privat, og min vens liste er bevidst nul, så ingen kan se min profil, alder, by eller træningshistorie.

Rapporten kom fra Jan Masters, en sikkerhedsforsker hos Pen Test Partners. Masters fandt ud af, at han kunne fremsætte uautoriserede API-anmodninger til Peloton-servere. Anmodningerne returnerede data, herunder:

• Bruger-id'er
• Instruktør-id'er
• Gruppemedlemskab
• Beliggenhed
• Træningsstatistik
• Køn og alder
• Hvis de er i studiet eller ej

Efter at have afsløret det potentielle databrud, afslørede Masters ansvarligt den utætte API til Peloton. De fleste ansvarlige oplysninger giver tjenesteudbyderen 90 dage til at rette fejlen, hvilket Masters gjorde.

Imidlertid ser det ud til, at i stedet for at lappe sårbarheden helt, begrænsede Peloton oprindeligt bare API-adgang til sine medlemmer. På det tidspunkt kunne enhver oprette en ny konto med et månedligt medlemskab og bruge det til at få adgang til API'en.

På trods af yderligere kontakt fra Pen Test Partners, svarede Peloton ikke, indtil sikkerhedsforskningsfirmaet nåede ud til Peloton for yderligere forklaring.

Kort efter kontakt med pressekontoret i Peloton havde vi kontakt direkte fra Pelotons CISO, som var ny i stillingen. Sårbarhederne blev stort set løst inden for 7 dage. Det er en skam, at vores offentliggørelse ikke blev reageret rettidigt og også en skam, at vi var nødt til at involvere en journalist for at blive lyttet til.

TechCrunch holdt nyheden om API-lækagen, indtil Peloton løste problemet, som det har siden.

Relaterede: Peloton Vs. Nordictrack Vs. Echelon: Den bedste indendørs cykeltræner

Pelotons 2021 på en ujævn bane

Peloton har været en hyppig besøgende af overskrifterne og ikke altid af de rigtige grunde. Peloton løbebånd + løbebånd tilbagekaldes efter et barns barns tragiske død og tilfælde af flere skader. Samtidig opfordres der til yderligere undersøgelse af andre Peloton-produkter for at kontrollere sikkerhedsproblemer.

Relaterede: Peloton kæmper med en sikkerhedsindkaldelse af dens løbebånd + løbebånd

Hvis du ejer en løbebånd + løbebånd fra Peloton, blev produktet officielt tilbagekaldt den 5. maj 2021. Det Peloton-tilbagekaldelsesside giver flere oplysninger om modtagelse af fuld refusion og returnering af dit løbebånd.

Efter et barns død udsender Peloton en ny sikkerhedsmeddelelse

Hændelsen fik Pelotons administrerende direktør John Foley til at skrive en e-mail til kunderne.

Læs Næste

Om forfatteren