Pelotons svårigheter fortsätter med läckage som exponerar privata användardata

Pelotons 2021 går från dåligt till sämre när rapporter om ett potentiellt dataintrång dyker upp. Brottet verkar härröra från ett exponerat API som gjorde det möjligt för alla att hämta upp den privata informationen från Peloton-medlemmar, inklusive de med de mest privata datainställningarna.

Att göra saken värre avslöjade säkerhetsforskaren ansvarsfullt upptäckten av det exponerade API: et för Peloton tillbaka i januari 2021 med den normala tidsfristen på 90 - men det verkar som om Peloton fixade felet inom tidsramen.

Peloton påstås exponerade abonnentdata

Först rapporterades av Zack Whittaker för TechCrunch, tillät det exponerade API: t vem som helst att hämta privata användarkontodata från Pelotons servrar, oavsett kontostatus. Enligt Whittakers beskrivning:

Halvvägs genom mitt måndagseftermiddagsträning förra veckan fick jag ett meddelande från en säkerhetsforskare med en skärmdump av min Peloton-kontodata. Min Peloton-profil är inställd på privat och min väns lista är medvetet noll, så ingen kan se min profil, ålder, stad eller träningshistorik.

Rapporten kom från Jan Masters, en säkerhetsforskare vid Pennprovspartners. Masters fann att han kunde göra obehöriga API-förfrågningar till Pelotons servrar. Förfrågningarna returnerade data inklusive:

• Användar-ID
• Instruktörs-ID
• Gruppmedlemskap
• Plats
• Träningsstatistik
• Kön och ålder
• Om de är i studion eller inte

Efter att ha upptäckt det potentiella dataintrånget avslöjade Masters ansvarigt det läckande API: et till Peloton. De mest ansvarsfulla uppgifterna ger tjänsteleverantören 90 dagar på sig att fixa felet, vilket Masters gjorde.

Det verkar emellertid att i stället för att korrigera sårbarheten helt, begränsade Peloton initialt bara API-åtkomst till sina medlemmar. Vid den tiden kunde vem som helst skapa ett nytt konto med ett månatligt medlemskap och använda det för att komma åt API.

Trots ytterligare kontakt från Pen Test Partners förblev Peloton inte svarande tills säkerhetsforskningsföretaget nådde ut till Peloton för ytterligare förklaring.

Strax efter kontakt med presskontoret i Peloton hade vi kontakt direkt från Pelotons CISO, som var ny tjänst. Sårbarheterna fixades till stor del inom sju dagar. Det är synd att vårt utlämnande inte reagerades i rätt tid och också synd att vi var tvungna att involvera en journalist för att bli lyssnade på.

TechCrunch höll nyheterna om API-läckan tills Peloton löste problemet, vilket det har gjort sedan dess.

Relaterad: Peloton Vs. Nordictrack Vs. Echelon: The Best Indoor Bike Trainer

Pelotons 2021 på en ojämn bana

Peloton har besökt rubrikerna ofta och inte alltid av rätt skäl. Löpbandet på löpbandet Peloton återkallas efter ett barns barns tragiska död och fall med flera skador. Samtidigt finns det krav på ytterligare undersökning av andra Peloton-produkter för att kontrollera säkerhetsfrågor.

Relaterad: Peloton bekämpar en säkerhetsåterkallelse av dess löpband + löpband

Om du äger ett löpband med löpband från Peloton återkallades produkten officiellt den 5 maj 2021. De Peloton återkallningssida ger mer information om hur du får full återbetalning och returnerar ditt löpband.

Efter ett barns död utfärdar Peloton ett nytt säkerhetsmeddelande

Händelsen fick Peloton VD John Foley att skriva ett e-postmeddelande till kunderna.

Läs Nästa

Om författaren