Pelotons woes fortsetter med lekkasje som viser private brukerdata

Pelotons 2021 går fra dårlig til verre ettersom rapporter om et potensielt datainnbrudd dukker opp. Bruddet ser ut til å stamme fra et eksponert API som tillot hvem som helst å hente opp den private informasjonen til Peloton-medlemmer, inkludert de med de mest private datainnstillingene.

Forverre saken, avslørte sikkerhetsforskeren ansvarlig oppdagelsen av den eksponerte API-en til Peloton tilbake i januar 2021 ved bruk av standard 90-fristen - men det ser ut til at Peloton løste feilen innen tidsrammen.

Peloton angivelig eksponert abonnentdata

Først rapportert av Zack Whittaker for TechCrunch, tillot den eksponerte API-en noen å hente private brukerkontodata fra Peloton-serverne, uansett kontostatus. I henhold til Whittakers beskrivelse:

Halvveis i løpet av mandag ettermiddagstrening i forrige uke, fikk jeg en melding fra en sikkerhetsforsker med et skjermbilde av Peloton-kontodataene mine. Peloton-profilen min er satt til privat, og vennelisten min er bevisst null, så ingen kan se profilen min, alder, by eller treningshistorie.

Rapporten kom fra Jan Masters, en sikkerhetsforsker ved Pen Test Partners. Masters fant ut at han kunne komme med uautoriserte API-forespørsler til Peloton-serverne. Forespørslene returnerte data inkludert:

• Bruker-IDer
• Instruktør-ID
• Gruppemedlemskap
• plassering
• Treningsstatistikk
• Kjønn og alder
• Hvis de er i studio eller ikke

Etter å ha avdekket potensielt brudd på data, avslørte Masters ansvarlig den lekkede API-en til Peloton. De fleste ansvarlige opplysningene gir tjenesteleverandøren 90 dager på å fikse feilen, noe Masters gjorde.

Imidlertid ser det ut til at i stedet for å lappe sårbarheten helt, begrenset Peloton i utgangspunktet bare API-tilgang til medlemmene. På det tidspunktet kunne hvem som helst opprette en ny konto med et månedlig medlemskap og bruke den til å få tilgang til API.

Til tross for ytterligere kontakt fra Pen Test Partners, forble Peloton ikke til sikkerhetsforskningsfirmaet nådde ut til Peloton for nærmere forklaring.

Kort tid etter at vi hadde kontakt med pressekontoret i Peloton, hadde vi kontakt direkte fra Pelotons CISO, som var ny i stillingen. Sårbarhetene ble stort sett løst innen 7 dager. Det er synd at avsløringen ikke ble svart på i tide, og også synd at vi måtte involvere en journalist for å bli lyttet til.

TechCrunch holdt nyheten om API-lekkasjen til Peloton løste problemet, som det har siden.

I slekt: Peloton vs. Nordictrack vs. Echelon: Den beste innendørs sykkeltreneren

Pelotons 2021 på et humpete spor

Peloton har vært en hyppig besøkende til overskriftene, og ikke alltid av de rette grunnene. Tredemøllen til Peloton tredemølle blir tilbakekalt etter den tragiske døden til et lite barn og tilfeller av flere skader. Samtidig er det krav om videre undersøkelse av andre Peloton-produkter for å sjekke om sikkerhetsproblemer er.

I slekt: Peloton kjemper mot en sikkerhetsinnkalling av tredemølle + tredemølle

Hvis du eier en tredemølle med tredemølle fra Peloton, ble produktet offisielt tilbakekalt 5. mai 2021. De Peloton tilbakekallingsside gir mer informasjon om å motta full refusjon og returnere tredemøllen.

Etter et barns død gir Peloton en ny sikkerhetsmerknad

Hendelsen fikk Peloton-sjef John Foley til å skrive en e-post til kundene.

Les Neste

Om forfatteren