Conturi de utilizator Peloton supuse unor scurgeri de date

Contas de usuário Peloton sujeitas a vazamento de dados

O condicionamento físico deve ser difícil – é como você sabe que está funcionando (ou pelo menos é o que nos dizem). Mas não deve ser difícil dessa forma. Um pesquisador de segurança descobriu que as contas de usuário de bicicletas e esteiras fitness Peloton estavam sujeitas a vazamentos de dados, e a empresa não tomou nenhuma providência inicialmente.

Potencial Peloton para vazamentos de dados

Com muitas academias fechadas durante grande parte da pandemia, as pessoas foram forçadas a praticar exercícios em casa. Alguns pegaram o dinheiro que estavam economizando e usaram para comprar uma bicicleta ergométrica ou esteira Peloton. Mas as informações compartilhadas nas contas do Peloton foram deixadas desprotegidas e sujeitas a vazamentos de dados.

O equipamento de fitness Peloton inicialmente foi examinado quando o presidente dos EUA, Joe Biden, se preparava para se mudar para a Casa Branca. Ele tem uma bicicleta ergométrica Peloton equipada com câmera e microfone, como a maioria das bicicletas ergométricas conectadas à Internet. Falou-se em não permitir que ele o levasse para a Casa Branca ou privar a moto de sua conectividade com a Internet.

Não está claro se o presidente Biden teve permissão para trazer a bicicleta Peloton com ele. No entanto, o pesquisador de segurança Jan Masters, da Pen Test Partners, foi levado a examinar a segurança do equipamento Peloton. Ele aprendeu ele poderia fazer acesso não autorizado à API do Peloton para dados da conta. O sistema permitia acesso a qualquer pessoa.

Os dados do usuário do Peloton – como idade, sexo, cidade, peso e estatísticas de treino – estavam abertos a vazamentos de dados, independentemente de as contas terem sido definidas como privadas.

Masters relatou sua descoberta de possíveis vazamentos de dados ao Peloton. Como a maioria dos pesquisadores de segurança, ele deu à empresa 90 dias para corrigir o problema antes de divulgar sua descoberta. Nessa janela de 90 dias, o Peloton não corrigiu o potencial de vazamentos de dados. A única ação que tomou foi encerrar o acesso aos membros. Mas qualquer pessoa pode se inscrever em uma conta e obter esse acesso.

Peloton finalmente anunciou em um comunicado que havia consertado o problema de segurança e admitido suas ações de príon.

“É uma prioridade para Peloton manter nossa plataforma segura, e estamos sempre procurando melhorar nossa abordagem e processo para trabalhar com a comunidade de segurança externa. Por meio de nosso programa Coordinated Vulnerability Disclosure, um pesquisador de segurança nos informou que conseguiu acessar nossa API e ver as informações disponíveis em um perfil do Peloton. Tomamos medidas e resolvemos os problemas com base em seus comentários iniciais, mas demoramos a atualizar o pesquisador sobre nossos esforços de remediação. No futuro, faremos melhor para trabalhar em colaboração com a comunidade de pesquisa de segurança e responder mais prontamente quando as vulnerabilidades forem relatadas. Queremos agradecer [Pen Test Partners Founder] Ken Munro por enviar seus relatórios por meio de nosso programa CVD e por estar aberto a trabalhar conosco para resolver esses problemas. ”

Depois da queda

Munro disse após a declaração do Peloton: “O Peloton teve uma pequena falha ao responder ao relatório de vulnerabilidade, mas depois de um empurrão na direção certa, tomou as medidas adequadas. Um programa de divulgação de vulnerabilidades não é apenas uma página de um site; requer ação coordenada em toda a organização. ”

Peloton Data Leaks Treadmill

Embora o Peloton tenha feito a coisa certa, é preocupante que tenha demorado tanto para consertar a vulnerabilidade e que não tenha sido antecipado quando o fez. Muitas, muitas empresas têm vulnerabilidades – a Peloton não está sozinha nisso. Mas é preciso haver responsabilidade quando um problema é trazido à luz.

Se você é um usuário Peloton, seus dados agora estão seguros. Mas saiba que a empresa foi negligente com os dados dos clientes, mesmo quando uma figura pública e a segurança nacional foram incluídas na mistura.

Continue lendo para saber mais sobre o vazamento de dados do Facebook afetando mais de 500 milhões de usuários.

Crédito da imagem: Peloton Media Press Kit

Rolar para cima