Pelotoni aasta 2021 liigub halvast halvemaks, kuna ilmnevad teated potentsiaalsest andmerikkumisest. Näib, et rikkumine tuleneb paljastatud API-st, mis võimaldas kõigil hankida Pelotoni liikmete, sealhulgas kõige privaatsemate andmeseadetega kasutajate privaatset teavet.
Asja teeb veelgi hullemaks, avalikustas turvauurija Pelotonile vastutava API avastamise vastutustundlikult tagasi jaanuaris 2021, kasutades standardset 90-tähtaega, kuid näib, et Peloton parandas vea aja jooksul.
Pelotoni väidetavalt eksponeeritud abonendiandmed
Esmakordselt teatas Zack Whittaker TechCrunch, võimaldas avatud API kõigil Peloton'i serveritest privaatsete kasutajakontode andmeid hankida, olenemata konto olekust. Vastavalt Whittakeri kirjeldusele:
Eelmise nädala esmaspäeva pärastlõunase treeningu poolel ajal sain turvauurijalt teate ekraanipildiga minu Pelotoni konto andmetest. Minu Pelotoni profiil on seatud privaatseks ja mu sõbra loend on tahtlikult null, nii et keegi ei saa vaadata minu profiili, vanust, linna ega treeningu ajalugu.
Aruanne pärines Jan Mastersilt, ettevõtte turvalisuse uurijalt Pliiatsitesti partnerid. Masters leidis, et ta võib teha Pelotoni serveritele volitamata API taotlusi. Taotlustega tagastati järgmised andmed:
- Kasutajatunnused
- Juhendaja ID-d
- Grupi liikmelisus
- Asukoht
- Treeningu statistika
- Sugu ja vanus
- Kui nad on stuudios või mitte
Pärast võimaliku andmerikkumise avastamist avalikustasid meistrid lekkiva API Pelotonile vastutustundlikult. Enamik vastutustundlikke andmeid annab teenuse pakkujale vea parandamiseks 90 päeva, mida Masters tegi.
Siiski näib, et Peloton piiras haavatavuse täieliku parandamise asemel API-le juurdepääsu oma liikmetele. Sel hetkel võiks igaüks luua uue igakuise liikmesusega konto ja kasutada seda API-le juurdepääsemiseks.
Hoolimata Pen Test Partnersi edasistest kontaktidest, ei reageerinud Peloton seni, kuni turvauuringute ettevõte jõudis Pelotonini täiendava selgituse saamiseks.
Varsti pärast kontakti loomist Pelotoni pressibürooga oli meil kontakt otse Pelotoni CISO-st, kes oli uus ametikohal. Haavatavused fikseeriti suures osas 7 päeva jooksul. Kahju, et meie avalikustamisele ei reageeritud õigeaegselt, ja ka häbi, et pidime kuulamise saamiseks kaasama ajakirjaniku.
TechCrunch hoidis uudiseid API lekkest, kuni Peloton lahendas selle probleemi, mis tal sellest ajast alates on.
Seotud: Peloton vs. Nordictrack vs. Echelon: parim siserattatreener
Pelotoni 2021. aasta auklikul rajal
Peloton ja USA tarbekaupade ohutuse komisjon kuulutavad välja Pelotoni toodete Tread + ja Tread toodete vabatahtliku tagasivõtmise. Lisateabe saamiseks ja tagasikutsumisel osalemiseks külastage meie veebisaiti #tagasikutsumine lehele https://t.co/I0h2yrSEyXpic.twitter.com/9zp2QMyH9x
- Peloton (@onepeloton) 5. mai 2021
Peloton on olnud pealkirjade sage külaline ja seda mitte alati õigetel põhjustel. Peloton Tread + jooksulint kutsutakse tagasi pärast väikelapse traagilist surma ja mitme vigastuse juhtumit. Samal ajal kutsutakse üles teiste Pelotoni toodete täiendavaks uurimiseks, et kontrollida turvaküsimusi.
Seotud: Peloton võitleb oma turvise + jooksulindi ohutuse tagasikutsumisega
Kui teil on Peloton Tread + jooksulint, kutsuti toode ametlikult tagasi 5. mail 2021. The Pelotoni tagasikutsumise leht annab lisateavet täieliku tagasimakse saamise ja jooksulindi tagastamise kohta.
Juhtunu pani Pelotoni tegevjuht John Foley klientidele meili kirjutama.
Loe edasi
- Turvalisus
- Tehnikauudised
- Sport
- Turvarikkumine
- Fitness
Gavin on Windowsi ja Technology Explained nooremtoimetaja, Really Useful Podcasti regulaarne kaasautor ja oli MakeUseOfi krüptokeskse õe saidi Blocks Decoded toimetaja. Tal on Devoni mägedelt rüüstatud BA (Hons) kaasaegne kirjutamine digitaalsete kunstipraktikatega ning üle kümne aasta pikkune professionaalne kirjutamiskogemus. Ta naudib rikkalikult teed, lauamänge ja jalgpalli.
Telli meie uudiskiri
Liituge meie uudiskirjaga, kus leiate tehnilisi näpunäiteid, ülevaateid, tasuta e-raamatuid ja eksklusiivseid pakkumisi!
Veel üks samm !!!
Palun kinnitage oma e-posti aadress e-kirjas, mille just teile saatsime.