Проблемы Peloton продолжаются из-за утечки личных данных пользователей

В 2021 году Peloton движется все хуже и хуже по мере появления сообщений о потенциальной утечке данных. Похоже, что нарушение происходит из-за открытого API, который позволил любому получить личную информацию членов Peloton, в том числе тех, у которых настройки личных данных были наиболее частыми.

Что еще хуже, исследователь безопасности ответственно сообщил Peloton об обнаружении открытого API. еще в январе 2021 года с использованием стандартного срока в 90 - но, похоже, Peloton исправил ошибку в установленные сроки.

Компания Peloton предположительно раскрыла данные подписчиков

Впервые сообщил Зак Уиттакер для TechCrunch, открытый API позволял любому получать данные личных учетных записей пользователей с серверов Peloton, независимо от статуса учетной записи. Согласно описанию Уиттакера:

В середине моей дневной тренировки в понедельник на прошлой неделе я получил сообщение от исследователя безопасности со скриншотом данных моей учетной записи Peloton. Мой профиль Peloton настроен как закрытый, а список моих друзей намеренно нулевой, поэтому никто не может просматривать мой профиль, возраст, город или историю тренировок.

instagram viewer

Сообщение было сделано Яном Мастерсом, исследователем безопасности в Партнеры по тестированию на проникновение. Мастерс обнаружил, что он может делать несанкционированные запросы API к серверам Peloton. Запросы вернули данные, в том числе:

• ID пользователей
• ID инструктора
• Членство в группе
• Место расположения
• Статистика тренировок
• Пол и возраст
• Если они в студии или нет

Обнаружив потенциальную утечку данных, Мастерс ответственно раскрыл утечку API в Peloton. Наиболее ответственное раскрытие информации дает поставщику услуг 90 дней на исправление ошибки, что и сделал Мастерс.

Однако похоже, что вместо того, чтобы полностью исправить уязвимость, Peloton изначально просто ограничил доступ к API для своих членов. На этом этапе любой может создать новую учетную запись с ежемесячным членством и использовать ее для доступа к API.

Несмотря на дальнейшие контакты со стороны Pen Test Partners, Peloton оставался без ответа, пока компания, занимающаяся исследованиями в области безопасности, не обратилась к Peloton за дальнейшими объяснениями.

Вскоре после того, как был установлен контакт с пресс-службой Peloton, мы связались напрямую с директором по информационной безопасности Peloton, который был новичком в этой должности. В основном уязвимости были устранены в течение 7 дней. Жалко, что на наше разглашение не отреагировали своевременно, а также жаль, что нам пришлось привлечь журналиста, чтобы нас выслушали.

TechCrunch держал новости об утечке API, пока Peloton не решил проблему, которая возникла с тех пор.

Связанный: Peloton Vs. Nordictrack Vs. Эшелон: лучший велотренажер в помещении

Peloton 2021 на ухабистой трассе

Peloton часто появляется в заголовках газет, и не всегда по правильным причинам. Беговую дорожку Peloton Tread + отзывают после трагической гибели маленького ребенка и многочисленных травм. В то же время звучат призывы к дальнейшему исследованию других продуктов Peloton на предмет наличия проблем с безопасностью.

Связанный: Peloton борется с отзывом о безопасности своего протектора + беговой дорожки

Если у вас есть беговая дорожка Peloton Tread +, продукт был официально отозван 5 мая 2021 года. В Страница отзыва Peloton предоставляет дополнительную информацию о получении полного возмещения и возврате беговой дорожки.

После смерти ребенка Peloton выпускает новое уведомление о безопасности

Инцидент заставил генерального директора Peloton Джона Фоули написать клиентам электронное письмо.

Читать далее

Об авторе