Conturi de utilizator Peloton supuse unor scurgeri de date

Account utente Peloton soggetti a fuga di dati

Il fitness dovrebbe essere difficile: è così che sai che funziona (o almeno è quello che ci viene detto). Ma non dovrebbe essere difficile in questo modo. Un ricercatore di sicurezza ha scoperto che gli account utente delle bici da fitness e dei tapis roulant Peloton erano soggetti a fughe di dati e la società inizialmente non ha intrapreso alcuna azione.

Potenziale Peloton per fughe di dati

Con molte palestre chiuse durante gran parte della pandemia, le persone sono state costrette a fare fitness a casa. Alcuni hanno preso i soldi che stavano risparmiando e li hanno usati per acquistare una cyclette o un tapis roulant Peloton. Ma le informazioni condivise negli account Peloton sono state lasciate non protette e soggette a fuga di dati.

L’attrezzatura per il fitness Peloton è stata inizialmente esaminata quando il presidente degli Stati Uniti Joe Biden si stava preparando a trasferirsi alla Casa Bianca. Ha una cyclette Peloton ed è dotata di fotocamera e microfono, come la maggior parte delle cyclette connesse a Internet. Si è parlato di non permettergli di portarlo alla Casa Bianca o di spogliare la bici della sua connettività Internet.

Non è chiaro se al presidente Biden sia stato permesso di portare con sé la bicicletta Peloton. Tuttavia, il ricercatore di sicurezza Jan Masters, con Pen Test Partners, è stato spinto a esaminare la sicurezza delle apparecchiature Peloton. Ha imparato potrebbe effettuare un accesso non autorizzato all’API Peloton per i dati dell’account. Il sistema consentiva l’accesso a chiunque.

I dati degli utenti Peloton, come età, sesso, città, peso e statistiche sull’allenamento, erano aperti a fughe di dati, indipendentemente dal fatto che gli account fossero impostati come privati.

Masters ha riferito a Peloton la sua scoperta di potenziali fughe di dati. Come con la maggior parte dei ricercatori sulla sicurezza, ha concesso all’azienda 90 giorni per risolvere il problema prima di rendere pubblica la sua scoperta. In quella finestra di 90 giorni, Peloton non ha risolto il potenziale di fuga di dati. L’unica azione intrapresa è stata quella di chiudere l’accesso ai membri. Ma chiunque può registrarsi per un account e ottenere tale accesso.

Peloton alla fine ha annunciato in una dichiarazione di aver risolto il problema di sicurezza e ha ammesso le sue azioni prioniche.

“Per Peloton è una priorità mantenere la nostra piattaforma sicura e cerchiamo sempre di migliorare il nostro approccio e il nostro processo per lavorare con la comunità di sicurezza esterna. Attraverso il nostro programma Coordinated Vulnerability Disclosure, un ricercatore di sicurezza ci ha informato che era in grado di accedere alla nostra API e vedere le informazioni disponibili su un profilo Peloton. Abbiamo agito e affrontato i problemi in base alle sue osservazioni iniziali, ma siamo stati lenti ad aggiornare il ricercatore sui nostri sforzi di riparazione. Andando avanti, faremo meglio a lavorare in collaborazione con la comunità di ricerca sulla sicurezza e rispondere più prontamente quando vengono segnalate vulnerabilità. Vogliamo ringraziare [Pen Test Partners Founder] Ken Munro per aver inviato i suoi rapporti tramite il nostro programma CVD e per essere disponibile a collaborare con noi per risolvere questi problemi “.

Dopo il Fallout

Munro ha detto dopo la dichiarazione di Peloton, “Peloton ha avuto un po ‘di fallimento nel rispondere al rapporto sulla vulnerabilità, ma dopo una spinta nella giusta direzione, ha intrapreso l’azione appropriata. Un programma di divulgazione delle vulnerabilità non è solo una pagina su un sito web; richiede un’azione coordinata in tutta l’organizzazione “.

Tapis roulant Peloton Data Leaks

Mentre Peloton alla fine ha fatto la cosa giusta, è preoccupante che ci sia voluto così tanto tempo per riparare la vulnerabilità e che non fosse in anticipo quando lo ha fatto. Molte, molte aziende hanno delle vulnerabilità: Peloton non è il solo a farlo. Ma ci deve essere responsabilità quando un problema viene portato alla luce.

Se sei un utente Peloton, i tuoi dati sono ora al sicuro. Ma sappi che la società era lassista con i dati dei clienti, anche quando un personaggio pubblico e la sicurezza nazionale erano inclusi nel mix.

Continua a leggere per conoscere la fuga di dati di Facebook che colpisce oltre 500 milioni di utenti.

Credito immagine: Cartella stampa di Peloton Media

Torna su