Pelotona likstas turpinās, ja privāto lietotāju dati tiek atklāti

Pelotona 2021. gads pāriet no slikta uz sliktāku, jo parādās ziņojumi par iespējamo datu pārkāpumu. Šķiet, ka pārkāpums izriet no atklātas API, kas ļāva ikvienam iegūt Peloton dalībnieku privāto informāciju, ieskaitot tos, kuriem ir visprivātākie datu iestatījumi.

Padarot vēl sliktāku, drošības pētnieks atbildīgi atklāja Peloton atklātās API atklāšanu 2021. gada janvārī, izmantojot standarta 90 termiņu, bet šķiet, ka Pelotons kļūdu novērsa laika posmā.

Peloton, iespējams, pakļauti abonentu dati

Pirmo reizi ziņoja Zaks Vitekers par TechCrunch, pakļautā API ļāva ikvienam iegūt privāta lietotāja konta datus no Peloton serveriem neatkarīgi no konta statusa. Saskaņā ar Whittaker aprakstu:

Pagājušās nedēļas pirmdienas pēcpusdienas treniņa vidū es saņēmu ziņojumu no drošības pētnieka ar savu Peloton konta datu ekrānuzņēmumu. Mans Peloton profils ir iestatīts kā privāts, un drauga saraksts ir apzināti nulle, tāpēc neviens nevar skatīt manu profilu, vecumu, pilsētu vai treniņu vēsturi.

Ziņojumu sagatavoja Jan Masters, drošības pētnieks no

Pildspalvas testa partneri. Meistari atklāja, ka viņš var veikt neatļautus API pieprasījumus Peloton serveriem. Pieprasījumos tika atgriezti dati, tostarp:

• Lietotāju ID
• Instruktoru ID
• Dalība grupā
• Atrašanās vieta
• Treniņu statistika
• Dzimums un vecums
• Ja viņi ir studijā vai nē

Pēc potenciālā datu pārkāpuma atklāšanas meistari atbildīgi atklāja noplūdušo API Peloton. Lielākā daļa atbildīgās informācijas sniedz pakalpojumu sniedzējam kļūdas novēršanai 90 dienas, ko Masters izdarīja.

Tomēr šķiet, ka tā vietā, lai pilnībā aizlāpītu ievainojamību, Peloton sākotnēji tikai ierobežoja API piekļuvi saviem biedriem. Tajā brīdī ikviens varēja izveidot jaunu kontu ar ikmēneša dalību un izmantot to, lai piekļūtu API.

Neskatoties uz turpmāko Pen Test Partners kontaktu, Peloton palika nereaģējošs, līdz drošības pētījumu uzņēmums sazinājās ar Peloton, lai saņemtu papildu paskaidrojumus.

Neilgi pēc sazināšanās ar Peloton preses biroju mums bija tiešs kontakts ar Peloton CISO, kurš bija jauns amatā. Ievainojamība lielā mērā tika novērsta 7 dienu laikā. Žēl, ka uz mūsu atklāto informāciju netika savlaicīgi reaģēts, kā arī kauns, ka mums bija jāiesaista žurnālists, lai mūs uzklausītu.

TechCrunch rīkoja ziņas par API noplūdi, līdz Peloton atrisināja problēmu, kas tai ir kopš tā laika.

Saistīts: Peloton vs. Nordictrack Vs. Ešelons: labākais iekštelpu velosipēdu treneris

Peletona 2021. gads uz bedraina ceļa

Pelotons ir bijis biežs virsrakstu apmeklētājs, un ne vienmēr pareizo iemeslu dēļ. Peloton Tread + skrejceļš tiek atsaukts pēc traģiskas mazu bērnu nāves un vairāku traumu gadījumiem. Tajā pašā laikā tiek aicināts turpināt izmeklēt citus Peloton produktus, lai pārbaudītu drošības problēmas.

Saistīts: Peloton cīnās ar protektora + skrejceliņa drošības atsaukšanu

Ja jums pieder Peloton Tread + skrejceļš, produkts tika oficiāli atsaukts 2021. gada 5. maijā. The Peloton Recall lapa sniedz plašāku informāciju par pilnas kompensācijas saņemšanu un skrejceliņa atdošanu.

Pēc bērna nāves Peletons izdod jaunu drošības paziņojumu

Šis incidents izraisīja Peloton izpilddirektora Džona Folija klientu e-pasta rakstīšanu.

Lasiet Tālāk

Par autoru