Peloton 2021 m. Keičiasi iš blogos į blogesnę, kai pasirodo pranešimai apie galimą duomenų pažeidimą. Atrodo, kad pažeidimas atsirado dėl neapsaugotos API, kuri leido bet kam gauti privačią „Peloton“ narių informaciją, įskaitant tas, kurios turi labiausiai asmeninius duomenų nustatymus.

Dar blogiau, saugumo tyrėjas atsakingai atskleidė „Peloton“ paveiktos API atradimą 2021 m. sausio mėn., naudodamas standartinį 90 metų terminą, tačiau panašu, kad Pelotonas per klaidą ištaisė klaidą.

„Peloton“ tariamai atskleisti abonentų duomenys

Pirmą kartą pranešė Zackas Whittakeris už „TechCrunch“, veikianti API leido bet kam ištraukti privačių vartotojų abonementų duomenis iš „Peloton“ serverių, neatsižvelgiant į paskyros būseną. Kaip nurodyta Whittakerio aprašyme:

Įpusėjus pirmadienio popietės treniruotei praėjusią savaitę, aš gavau pranešimą iš saugumo tyrėjo su „Peloton“ paskyros duomenų ekrano kopija. Mano „Peloton“ profilis nustatytas kaip privatus, o mano draugų sąrašas sąmoningai nulis, todėl niekas negali peržiūrėti mano profilio, amžiaus, miesto ar treniruočių istorijos.

instagram viewer

Ataskaitą pateikė Janas Mastersas, saugumo tyrėjas Rašiklio testavimo partneriai. Meistrai nustatė, kad jis gali pateikti neteisėtas API užklausas „Peloton“ serveriams. Užklausos pateikė duomenis, įskaitant:

  • „User ID“
  • Instruktoriaus ID
  • Grupės narystė
  • Vieta
  • Treniruočių statistika
  • Lytis ir amžius
  • Jei jie studijoje, ar ne

Atskleidę galimą duomenų pažeidimą, meistrai atsakingai atskleidė „Peloton“ nutekėjusią API. Dauguma atsakingų duomenų suteikia paslaugų teikėjui 90 dienų klaidai pašalinti, ką Masters padarė.

Tačiau atrodo, kad užuot visiškai užtaisęs pažeidžiamumą, „Peloton“ iš pradžių tiesiog apribojo API prieigą prie savo narių. Tuo metu kiekvienas galėtų sukurti naują paskyrą su mėnesio naryste ir naudoti ją prieigai prie API.

Nepaisant tolesnio „Pen Test Partners“ kontakto, „Peloton“ neatsakė, kol saugumo tyrimų bendrovė kreipėsi į „Peloton“ dėl tolesnio paaiškinimo.

Netrukus po to, kai susisiekėme su „Peloton“ spaudos tarnyba, mes susisiekėme tiesiogiai iš „Peloton“ CISO, kuris buvo naujas postas. Pažeidžiamumas daugiausia buvo pašalintas per 7 dienas. Gaila, kad į mūsų atskleidimą nebuvo laiku reaguota, taip pat gaila, kad turėjome įtraukti žurnalistą, kad būtume išklausyti.

„TechCrunch“ laikė naujienas apie API nutekėjimą, kol „Peloton“ išsprendė problemą, kurią turėjo nuo to laiko.

Susijęs: „Peloton vs. „Nordictrack Vs.“ „Echelon“: geriausias uždarų dviračių treneris

Peletono 2021 m. „Nelygioje trasoje“

„Peloton“ ir JAV vartotojų produktų saugos komisija skelbia savanorišką „Peloton“ „Tread +“ ir „Tread“ produktų atšaukimą. Norėdami gauti daugiau informacijos ir dalyvauti atšaukime, apsilankykite mūsų # atšaukti puslapis https://t.co/I0h2yrSEyXpic.twitter.com/9zp2QMyH9x

- Peloton (@onepeloton) 2021 m. Gegužės 5 d

Pelotonas dažnai lankėsi antraštėse ir ne visada dėl teisingų priežasčių. „Peloton Tread +“ bėgimo takelis atšaukiamas po tragiškos mažo vaiko mirties ir daugybinių sužalojimų atvejų. Tuo pačiu metu raginama atlikti tolesnius kitų „Peloton“ produktų tyrimus, siekiant patikrinti saugumo problemas.

Susijęs: „Peloton“ kovoja su savo protektoriaus + bėgimo takelio sauga

Jei turite „Peloton Tread +“ bėgimo takelį, produktas buvo oficialiai atsiimtas 2021 m. Gegužės 5 d. „Peloton Recall“ puslapis pateikia daugiau informacijos apie visos pinigų grąžinimo ir bėgimo takelio grąžinimą.

El
Po vaiko mirties Peloton paskelbia naują saugos pranešimą

Šis įvykis privertė „Peloton“ generalinį direktorių Johną Foley parašyti el. Laišką klientams.

Skaitykite toliau

Susijusios temos
  • Saugumas
  • „Tech News“
  • Sportas
  • Saugumo pažeidimas
  • Sportas
Apie autorių
Gavinas Phillipsas (Paskelbti 843 straipsniai)

Gavinas yra „Windows“ ir „Technology Explained“ jaunesnysis redaktorius, nuolatinis „Really Useful Podcast“ bendradarbis. Jis buvo „MakeUseOf“ į šifravimą orientuotos sesers svetainės „Blocks Decoded“ redaktorius. Jis turi šiuolaikinio BA („Hons“) rašymą su skaitmeninio meno praktikomis, apiplėštomis nuo Devono kalvų, taip pat daugiau nei dešimtmetį profesionalios rašymo patirties. Jis mėgaujasi gausiu kiekiu arbatos, stalo žaidimų ir futbolo.

Daugiau iš Gavino Phillipso

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kuriame rasite techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Dar vienas žingsnis…!

Prašome patvirtinti savo el. Pašto adresą el. Laiške, kurį jums ką tik išsiuntėme.

.