A Peloton baja folytatódik a privát felhasználói adatok kiszivárogtatásával

Peloton 2021-es éve rosszról rosszabbra vált, amint jelentések érkeznek az esetleges adatsértésekről. Úgy tűnik, hogy a megsértés egy kitett API-ból származik, amely lehetővé tette, hogy bárki megszerezhesse a Peloton-tagok privát adatait, beleértve azokat is, akiknek a legtöbb magánadat-beállítása van.

A helyzetet tovább rontja, hogy a biztonsági kutató felelősségteljesen nyilvánosságra hozta a kitett API felfedezését a Peloton számára még 2021 januárjában, a szokásos 90-es határidő alkalmazásával - de úgy tűnik, Peloton az időn belül kijavította a hibát.

Állítólagosan kitett Peloton előfizetői adatok

Először Zack Whittaker jelentette TechCrunch, a kitett API lehetővé tette, hogy bárki privát felhasználói fiók adatait lehívja a Peloton szerverekről, a fiók állapotától függetlenül. Whittaker leírása szerint:

A múlt hétfő délutáni edzés felénél kaptam egy biztonsági kutatótól egy üzenetet a Peloton-fiók adatairól készült képernyőképpel. A Peloton-profilom privátra van állítva, és a barátom listája szándékosan nulla, így senki sem tekintheti meg a profilomat, az életkoromat, a városomat vagy az edzéstörténetemet.

instagram viewer

A jelentést Jan Masters, a Pen Test Partners. A mesterek úgy találták, hogy jogosulatlan API-kéréseket tehet a Peloton szerverekhez. A kérelmek olyan adatokat szolgáltattak, amelyek a következők voltak:

• Felhasználói azonosítók
• Oktatói azonosítók
• Csoporttagság
• Elhelyezkedés
• Edzés statisztika
• Nem és életkor
• Ha a stúdióban vannak, vagy sem

A potenciális adatsértés feltárása után a Masters felelősségteljesen közölte a szivárgó API-t a Peloton-nal. A legtöbb felelősségteljes közzététel 90 napot ad a szolgáltatónak a hiba kijavítására, amit a Masters meg is tett.

Úgy tűnik azonban, hogy a Peloton a hiányosság teljes foltozása helyett eredetileg csak az API hozzáférést korlátozta tagjaihoz. Ekkor bárki létrehozhat egy új fiókot havi tagsággal, és ezt felhasználhatja az API elérésére.

Annak ellenére, hogy a Pen Test Partners további kapcsolatba lépett, a Peloton nem reagált, amíg a biztonsági kutató cég további magyarázatért nem fordult Pelotonhoz.

Röviddel azután, hogy kapcsolatba léptünk a pelotoni sajtóirodával, kapcsolatba léptünk közvetlenül a Peloton CISO-jával, aki új poszton volt. A sebezhetőségeket nagyrészt 7 napon belül javították. Kár, hogy a nyilvánosságra hozatalunkra nem reagáltak időben, és az is szégyen, hogy újságírót kellett bevonnunk ahhoz, hogy meghallgassák őket.

A TechCrunch addig tartotta az API-szivárgás híreit, amíg a Peloton megoldotta a problémát, amelyet azóta meg is tett.

Összefüggő: Peloton vs. Nordictrack Vs. Echelon: A legjobb beltéri kerékpáros edző

Peloton 2021 egy rögös pályán

Peloton gyakran látogatta a címlapokat, és nem mindig a megfelelő okok miatt. A Peloton Tread + futópadot egy kisgyerek tragikus halála és többszörös sérüléses esetek után hívják vissza. Ugyanakkor további vizsgálatokra hívják fel a Peloton egyéb termékeit a biztonsági problémák ellenőrzése érdekében.

Összefüggő: A Peloton a futópad + futópad biztonsági visszahívásával küzd

Ha Önnek Peloton futópad + futópadja van, akkor a terméket hivatalosan 2021. május 5-én hívták vissza. A Peloton Recall oldal további információkat nyújt a teljes visszatérítés megkapásáról és a futópad visszaszállításáról.

Gyermek halála után Peloton új biztonsági közleményt ad ki

Az eset miatt a Peloton vezérigazgatója, John Foley e-mailt írt az ügyfeleknek.

Olvassa el a következőt

A szerzőről