Conturi de utilizator Peloton supuse unor scurgeri de date

Conturi de utilizator Peloton supuse unor scurgeri de date

⌛ Reading Time: 4 minutes

Fitness-ul ar trebui să fie dificil – este modul în care știi că funcționează (sau cel puțin asta ni se spune). Dar nu ar trebui să fie dificil în acest fel. Un cercetător în domeniul securității a descoperit că conturile de utilizator ale bicicletelor și benzilor de alergare Peloton erau supuse unor scurgeri de date, iar compania nu a luat nicio măsură inițial.

Potențialul Peloton pentru scurgeri de date

Cu multe săli de sport închise în mare parte a pandemiei, oamenii au fost forțați să se antreneze la domiciliu. Unii au luat banii pe care îi economiseau și i-au folosit pentru a obține o bicicletă staționară Peloton sau o bandă de alergat. Dar informațiile care au fost partajate în conturile Peloton au fost lăsate neprotejate și supuse unor scurgeri de date.

Echipamentul de fitness Peloton a căzut inițial sub control atunci când președintele american Joe Biden se pregătea să se mute în Casa Albă. Are o bicicletă staționară Peloton și este echipată cu cameră și microfon, la fel ca majoritatea bicicletelor staționare conectate la internet. S-a vorbit despre faptul că nu i-a permis să-l aducă la Casa Albă sau să dezbrace bicicleta de conectivitatea sa la internet.

Nu este clar dacă președintelui Biden i s-a permis să aducă bicicleta Peloton cu el. Cu toate acestea, cercetătorul în domeniul securității, Jan Masters, împreună cu Pen Test Partners, a fost mutat să analizeze securitatea echipamentelor Peloton. El a învățat ar putea face acces neautorizat la API-ul Peloton pentru datele contului. Sistemul a permis accesul oricui.

Datele utilizatorului Peloton – cum ar fi vârsta, sexul, orașul, greutatea și statisticile despre antrenament – erau deschise pentru scurgeri de date, indiferent dacă conturile erau setate la privat.

Masters a raportat descoperirea potențialei scurgeri de date către Peloton. La fel ca majoritatea cercetătorilor în materie de securitate, el a acordat companiei 90 de zile pentru a remedia problema înainte de a deveni public cu descoperirea sa. În acea fereastră de 90 de zile, Peloton nu a remediat potențialul de scurgeri de date. Singura acțiune întreprinsă a fost închiderea accesului membrilor. Dar oricine se poate înscrie pentru un cont și poate obține acel acces.

În cele din urmă, Peloton a anunțat într-o declarație că a rezolvat problema de securitate și a recunoscut acțiunile sale prion.

„Este o prioritate pentru Peloton să ne păstrăm platforma în siguranță și căutăm întotdeauna să ne îmbunătățim abordarea și procesul de lucru cu comunitatea de securitate externă. Prin intermediul programului nostru de divulgare a vulnerabilității coordonate, un cercetător în securitate ne-a informat că a putut accesa API-ul nostru și a vedea informații disponibile pe un profil Peloton. Am luat măsuri și am abordat problemele pe baza comunicărilor sale inițiale, dar am încetinit să îl informăm pe cercetător despre eforturile noastre de remediere. În viitor, vom face mai bine să lucrăm în colaborare cu comunitatea de cercetare a securității și să răspundem mai prompt atunci când sunt raportate vulnerabilități. Vrem să mulțumim [Pen Test Partners Founder] Ken Munro pentru transmiterea rapoartelor sale prin intermediul programului nostru CVD și pentru că a fost deschis să lucreze cu noi pentru a rezolva aceste probleme. ”

După Fallout

Munro a declarat după declarația Peloton: „Peloton a reușit un pic să răspundă la raportul de vulnerabilitate, dar după o lovitură în direcția corectă, a luat măsurile adecvate. Un program de divulgare a vulnerabilităților nu este doar o pagină de pe un site web; necesită acțiuni coordonate în întreaga organizație. ”

Banda de alergare Peloton Data Leaks

În timp ce Peloton a făcut în cele din urmă lucrurile corecte, este îngrijorător faptul că a durat atât de mult timp pentru a remedia vulnerabilitatea și că nu a fost inițial când a făcut-o. Multe, multe companii au vulnerabilități – Peloton nu este singurul în asta. Dar trebuie să existe responsabilitate atunci când o problemă este scoasă la lumină.

Dacă sunteți utilizator Peloton, datele dvs. sunt acum sigure. Dar să știți că compania a fost laxă cu datele clienților, chiar și atunci când o persoană publică și securitatea națională au fost incluse în mix.

Citiți mai departe pentru a afla despre scurgerea de date Facebook care afectează peste 500 de milioane de utilizatori.

Credit de imagine: Trusa de presă Peloton Media

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.