Veri Sızıntılarına Maruz Olan Peloton Kullanıcı Hesapları

Comptes d’utilisateurs Peloton soumis à des fuites de données

⌛ Reading Time: 4 minutes

La forme physique est censée être difficile – c’est ainsi que vous savez que cela fonctionne (ou du moins c’est ce qu’on nous dit). Mais cela ne devrait pas être difficile de cette façon. Un chercheur en sécurité a découvert que les comptes d’utilisateurs des vélos de fitness et des tapis roulants Peloton étaient sujets à des fuites de données, et la société n’a pris aucune mesure au départ.

Peloton Potentiel de fuites de données

Avec de nombreux gymnases fermés pendant une grande partie de la pandémie, les gens ont été contraints de faire du fitness à domicile. Certains ont pris cet argent qu’ils économisaient et l’ont utilisé pour acheter un vélo stationnaire ou un tapis roulant Peloton. Mais les informations qui ont été partagées dans les comptes Peloton n’ont pas été protégées et ont fait l’objet de fuites de données.

L’équipement de fitness Peloton a d’abord fait l’objet d’un examen minutieux lorsque le président américain Joe Biden se préparait à emménager à la Maison Blanche. Il a un vélo stationnaire Peloton, et il est équipé d’une caméra et d’un micro, comme la plupart des vélos stationnaires connectés à Internet. Il a été question de ne pas lui permettre de l’amener à la Maison Blanche ou de dépouiller le vélo de sa connectivité Internet.

On ne sait pas si le président Biden a été autorisé à apporter le vélo Peloton avec lui. Cependant, le chercheur en sécurité Jan Masters, avec Pen Test Partners, a été amené à se pencher sur la sécurité des équipements Peloton. Il a appris il pourrait faire un accès non autorisé à l’API Peloton pour les données du compte. Le système permettait l’accès à n’importe qui.

Les données utilisateur Peloton – telles que l’âge, le sexe, la ville, le poids et les statistiques d’entraînement – étaient sujettes à des fuites de données, que les comptes soient ou non définis comme privés.

Masters a signalé sa découverte de fuites de données potentielles à Peloton. Comme pour la plupart des chercheurs en sécurité, il a donné à l’entreprise 90 jours pour résoudre le problème avant de rendre publique sa découverte. Dans cette fenêtre de 90 jours, Peloton n’a pas corrigé le potentiel de fuite de données. La seule mesure qu’il a prise a été de fermer l’accès aux membres. Mais n’importe qui peut créer un compte et obtenir cet accès.

Peloton a finalement annoncé dans un communiqué qu’il avait résolu le problème de sécurité et admis ses actions contre les prions.

« C’est une priorité pour Peloton de garder notre plate-forme sécurisée, et nous cherchons toujours à améliorer notre approche et notre processus de travail avec la communauté de sécurité externe. Grâce à notre programme de divulgation coordonnée des vulnérabilités, un chercheur en sécurité nous a informés qu’il était en mesure d’accéder à notre API et de voir les informations disponibles sur un profil Peloton. Nous avons pris des mesures et abordé les problèmes sur la base de ses soumissions initiales, mais nous avons mis du temps à informer le chercheur de nos efforts de remédiation. À l’avenir, nous ferons mieux pour travailler en collaboration avec la communauté des chercheurs en sécurité et réagirons plus rapidement lorsque des vulnérabilités sont signalées. Nous voulons remercier [Pen Test Partners Founder] Ken Munro pour avoir soumis ses rapports via notre programme CVD et pour être disposé à travailler avec nous pour résoudre ces problèmes. »

Après les retombées

Munro a déclaré après la déclaration de Peloton : « Peloton a eu un peu de mal à répondre au rapport de vulnérabilité, mais après un coup de pouce dans la bonne direction, a pris les mesures appropriées. Un programme de divulgation de vulnérabilités n’est pas simplement une page sur un site Web ; cela nécessite une action coordonnée dans l’ensemble de l’organisation.

Tapis de course Peloton Data Leaks

Bien que Peloton ait finalement fait ce qu’il fallait, il est inquiétant qu’il ait fallu si longtemps pour corriger la vulnérabilité et que ce n’était pas direct quand il l’a fait. Beaucoup, beaucoup d’entreprises ont des vulnérabilités – Peloton n’est pas le seul dans ce cas. Mais il doit y avoir une responsabilité lorsqu’un problème est mis en lumière.

Si vous êtes un utilisateur Peloton, vos données sont désormais en sécurité. Mais sachez que l’entreprise était laxiste avec les données des clients, même lorsqu’une personnalité publique et la sécurité nationale étaient incluses dans le mélange.

Lisez la suite pour en savoir plus sur la fuite de données de Facebook affectant plus de 500 millions d’utilisateurs.

Crédit d’image : Dossier de presse média Peloton

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.