Проблемы Peloton продолжаются из-за утечки личных данных пользователей
В 2021 году Peloton движется все хуже и хуже по мере появления сообщений о потенциальной утечке данных. Нарушение, по-видимому, происходит из-за открытого API, который позволил любому получить личную информацию членов Peloton, в том числе тех, у кого самые личные настройки данных.
Что еще хуже, исследователь безопасности ответственно сообщил Peloton об обнаружении открытого API еще в январе 2021 года, используя стандартный 90-дневный срок, но, похоже, Peloton исправил ошибку в установленные сроки.
Компания Peloton предположительно раскрыла данные подписчиков
Впервые сообщенный Заком Уиттакером для TechCrunch , открытый API позволял любому извлекать данные частной учетной записи с серверов Peloton, независимо от статуса учетной записи. Согласно описанию Уиттакера:
В середине моей дневной тренировки в понедельник на прошлой неделе я получил сообщение от исследователя безопасности со скриншотом данных моей учетной записи Peloton. Мой профиль Peloton настроен как закрытый, а список моих друзей намеренно нулевой, поэтому никто не может просматривать мой профиль, возраст, город или историю тренировок.
Отчет пришел от Яна Мастерс, исследователя безопасности в Pen Test Partners . Мастерс обнаружил, что он может делать несанкционированные запросы API к серверам Peloton. Запросы вернули данные, в том числе:
- ID пользователей
- ID инструктора
- Членство в группе
- Место расположения
- Статистика тренировок
- Пол и возраст
- Если они в студии или нет
Обнаружив потенциальную утечку данных, Мастерс ответственно раскрыл утечку API в Peloton. Наиболее ответственное раскрытие информации дает поставщику услуг 90 дней на исправление ошибки, что и сделал Мастерс.
Однако похоже, что вместо того, чтобы полностью исправить уязвимость, Peloton изначально просто ограничил доступ к API для своих членов. На этом этапе любой может создать новую учетную запись с ежемесячным членством и использовать ее для доступа к API.
Несмотря на дальнейшие контакты со стороны Pen Test Partners, Peloton оставался без ответа, пока компания, занимающаяся исследованиями в области безопасности, не обратилась к Peloton за дальнейшими объяснениями.
Вскоре после того, как был установлен контакт с пресс-службой Peloton, мы связались напрямую с директором по информационной безопасности Peloton, который был новичком в этой должности. В основном уязвимости были устранены в течение 7 дней. Жалко, что на наше разглашение не отреагировали своевременно, а также жаль, что нам пришлось привлечь журналиста, чтобы нас выслушали.
TechCrunch держал новости об утечке API, пока Peloton не решил проблему, которая возникла с тех пор.
Peloton 2021 на ухабистой трассе
Peloton и Комиссия по безопасности потребительских товаров США объявляют о добровольном отзыве продуктов Peloton Tread + и Tread. Для получения дополнительной информации и участия в отзыве посетите нашу страницу # отзыва https://t.co/I0h2yrSEyX pic.twitter.com/9zp2QMyH9x
– Peloton (@onepeloton) 5 мая 2021 г.
Peloton часто появляется в заголовках газет, и не всегда по правильным причинам. Беговую дорожку Peloton Tread + отзывают после трагической гибели маленького ребенка и многочисленных травм. В то же время звучат призывы к дальнейшему исследованию других продуктов Peloton на предмет наличия проблем с безопасностью.
Если у вас есть беговая дорожка Peloton Tread +, продукт был официально отозван 5 мая 2021 года. На странице отзыва Peloton представлена дополнительная информация о получении полного возмещения и возврате беговой дорожки.