I guai di Peloton continuano con la perdita di dati degli utenti privati

Il 2021 di Peloton sta passando di male in peggio a causa delle segnalazioni di una potenziale violazione dei dati. La violazione sembra derivare da un'API esposta che consentiva a chiunque di estrarre le informazioni private dei membri di Peloton, compresi quelli con le impostazioni dei dati più private.

A peggiorare le cose, il ricercatore sulla sicurezza ha divulgato responsabilmente la scoperta dell'API esposta a Peloton nel gennaio 2021 utilizzando la scadenza standard di 90, ma sembra che Peloton abbia risolto il bug entro il lasso di tempo.

Peloton presumibilmente smascherato i dati degli abbonati

Segnalato per la prima volta da Zack Whittaker per TechCrunch, l'API esposta consentiva a chiunque di estrarre i dati dell'account utente privato dai server Peloton, indipendentemente dallo stato dell'account. Come da descrizione di Whittaker:

A metà del mio allenamento del lunedì pomeriggio della scorsa settimana, ho ricevuto un messaggio da un ricercatore di sicurezza con uno screenshot dei dati del mio account Peloton. Il mio profilo Peloton è impostato su privato e l'elenco dei miei amici è deliberatamente zero, quindi nessuno può visualizzare il mio profilo, età, città o cronologia degli allenamenti.

instagram viewer

Il rapporto proveniva da Jan Masters, un ricercatore di sicurezza presso Pen Test Partners. Masters ha scoperto che poteva inviare richieste API non autorizzate ai server Peloton. Le richieste hanno restituito dati tra cui:

• ID utente
• ID istruttore
• Appartenenza a un gruppo
• Posizione
• Statistiche di allenamento
• Sesso ed età
• Se sono in studio o no

Dopo aver scoperto la potenziale violazione dei dati, Masters ha divulgato responsabilmente l'API che perde a Peloton. La maggior parte delle divulgazioni responsabili danno al fornitore di servizi 90 giorni per correggere il bug, cosa che ha fatto Masters.

Tuttavia, sembra che, anziché correggere completamente la vulnerabilità, Peloton inizialmente limitasse l'accesso API ai suoi membri. A quel punto, chiunque potrebbe creare un nuovo account con un abbonamento mensile e utilizzarlo per accedere all'API.

Nonostante ulteriori contatti da parte dei Pen Test Partners, Peloton non ha risposto fino a quando la società di ricerca sulla sicurezza non ha contattato Peloton per ulteriori spiegazioni.

Poco dopo il contatto con l'ufficio stampa di Peloton, abbiamo avuto un contatto diretto con il CISO di Peloton, che era nuovo in carica. Le vulnerabilità sono state in gran parte risolte entro 7 giorni. È un peccato che alla nostra divulgazione non sia stata data una risposta tempestiva e anche un peccato che abbiamo dovuto coinvolgere un giornalista per essere ascoltati.

TechCrunch ha mantenuto la notizia della fuga di API fino a quando Peloton non ha risolto il problema, cosa che da allora ha fatto.

Relazionato: Peloton vs. Nordictrack vs. Echelon: il miglior allenatore di bici da interni

Il 2021 di Peloton su una pista accidentata

Peloton è stato un assiduo frequentatore dei titoli dei giornali, e non sempre per le giuste ragioni. Il tapis roulant Peloton Tread + viene richiamato dopo la tragica morte di un bambino e diversi casi di lesioni. Allo stesso tempo, ci sono richieste per ulteriori indagini su altri prodotti Peloton per verificare la presenza di problemi di sicurezza.

Relazionato: Peloton sta combattendo un richiamo di sicurezza del suo battistrada + tapis roulant

Se possiedi un tapis roulant Peloton Tread +, il prodotto è stato ufficialmente richiamato il 5 maggio 2021. Il Pagina di richiamo di Peloton fornisce ulteriori informazioni sulla ricezione di un rimborso completo e sulla restituzione del tapis roulant.

Dopo la morte di un bambino, Peloton pubblica un nuovo avviso di sicurezza

L'incidente ha indotto il CEO di Peloton John Foley a scrivere un'e-mail ai clienti.

Leggi Avanti

Circa l'autore