Conturi de utilizator Peloton supuse unor scurgeri de date

Peloton-Benutzerkonten, die Datenlecks ausgesetzt sind

Fitness soll schwierig sein – so weißt du, dass es funktioniert (oder zumindest wird uns das gesagt). Aber auf diese Weise sollte es nicht schwierig sein. Ein Sicherheitsforscher stellte fest, dass die Benutzerkonten von Peloton-Fitnessrädern und Laufbändern Datenlecks ausgesetzt waren, und das Unternehmen ergriff zunächst keine Maßnahmen.

Peloton-Potenzial für Datenlecks

Da viele Fitnessstudios während eines Großteils der Pandemie geschlossen waren, wurden die Menschen zu Heimfitness gezwungen. Einige nahmen das Geld, das sie gespart hatten, und besorgten damit ein stationäres Peloton-Fahrrad oder Laufband. Die Informationen, die in den Peloton-Konten geteilt wurden, blieben jedoch ungeschützt und unterlagen Datenlecks.

Die Peloton-Fitnessgeräte wurden zunächst unter die Lupe genommen, als US-Präsident Joe Biden sich auf den Einzug ins Weiße Haus vorbereitete. Er hat ein stationäres Peloton-Fahrrad und es ist mit einer Kamera und einem Mikrofon ausgestattet, wie die meisten stationären Fahrräder mit Internetanschluss. Es war die Rede davon, ihm nicht zu erlauben, es ins Weiße Haus zu bringen oder dem Fahrrad die Internetverbindung zu entziehen.

Es ist unklar, ob Präsident Biden das Peloton-Fahrrad mitbringen durfte. Der Sicherheitsforscher Jan Masters von Pen Test Partners wurde jedoch veranlasst, die Sicherheit von Peloton-Geräten zu untersuchen. Er lernte Er könnte unbefugten Zugriff auf die Peloton-API für Kontodaten gewähren. Das System erlaubte jedem den Zugriff.

Die Peloton-Benutzerdaten – wie Alter, Geschlecht, Stadt, Gewicht und Trainingsstatistik – waren offen für Datenlecks, unabhängig davon, ob die Konten auf privat eingestellt waren.

Masters meldete Peloton seine Entdeckung potenzieller Datenlecks. Wie bei den meisten Sicherheitsforschern gab er dem Unternehmen 90 Tage Zeit, um das Problem zu beheben, bevor er seine Entdeckung an die Öffentlichkeit bringen würde. In diesem 90-Tage-Fenster hat Peloton das Potenzial für Datenlecks nicht behoben. Die einzige Maßnahme bestand darin, den Zugang zu Mitgliedern zu sperren. Aber jeder kann sich für ein Konto anmelden und diesen Zugang erhalten.

Peloton gab schließlich in einer Erklärung bekannt, dass es das Sicherheitsproblem behoben und seine Prion-Aktionen zugelassen habe.

„Für Peloton ist es eine Priorität, unsere Plattform sicher zu halten, und wir sind stets bemüht, unseren Ansatz und Prozess für die Zusammenarbeit mit der externen Sicherheitsgemeinschaft zu verbessern. Über unser Programm zur Offenlegung koordinierter Sicherheitslücken informierte uns ein Sicherheitsforscher, dass er auf unsere API zugreifen und Informationen anzeigen konnte, die in einem Peloton-Profil verfügbar sind. Wir haben Maßnahmen ergriffen und die Probleme auf der Grundlage seiner ersten Beiträge angesprochen, aber wir haben den Forscher nur langsam über unsere Sanierungsbemühungen auf dem Laufenden gehalten. In Zukunft werden wir besser daran arbeiten, mit der Sicherheitsforschungsgemeinschaft zusammenzuarbeiten und schneller zu reagieren, wenn Schwachstellen gemeldet werden. Wir möchten uns bedanken [Pen Test Partners Founder] Ken Munro, der seine Berichte über unser CVD-Programm eingereicht hat und offen dafür ist, mit uns zusammenzuarbeiten, um diese Probleme zu lösen. “

Nach dem Fallout

Munro sagte nach der Peloton-Erklärung: „Peloton hatte ein wenig Probleme, auf den Schwachstellenbericht zu reagieren, ergriff jedoch nach einem Anstoß in die richtige Richtung geeignete Maßnahmen. Ein Programm zur Offenlegung von Sicherheitslücken ist nicht nur eine Seite auf einer Website. Es erfordert koordinierte Maßnahmen im gesamten Unternehmen. “

Peloton Data Leaks Laufband

Obwohl Peloton letztendlich das Richtige getan hat, ist es besorgniserregend, dass es so lange gedauert hat, die Sicherheitsanfälligkeit zu beheben, und dass es nicht im Voraus war, als es geschah. Viele, viele Unternehmen haben Schwachstellen – Peloton ist damit nicht allein. Aber es muss Rechenschaftspflicht geben, wenn ein Problem ans Licht gebracht wird.

Wenn Sie ein Peloton-Benutzer sind, sind Ihre Daten jetzt sicher. Aber wissen Sie, dass das Unternehmen mit Kundendaten nachlässig war, selbst wenn eine Persönlichkeit des öffentlichen Lebens und die nationale Sicherheit in den Mix einbezogen wurden.

Lesen Sie weiter, um mehr über das Datenleck von Facebook zu erfahren, von dem mehr als 500 Millionen Nutzer betroffen sind.

Bildnachweis: Peloton Media Press Kit

Scroll to Top