Pelotonove poteškoće nastavljaju se s otkrivanjem curenja podataka privatnih korisnika

Pelotonova se 2021. godina kreće iz lošeg u gore, jer se pojavljuju izvještaji o potencijalnom kršenju podataka. Čini se da kršenje proizlazi iz izloženog API-ja koji je omogućio svima da izvuku privatne podatke članova Pelotona, uključujući one s najviše postavki privatnih podataka.

Pogoršavajući stvari, istraživač sigurnosti je Pelotonu odgovorno otkrio otkriće izloženog API-ja još u siječnju 2021. koristeći standardni rok od 90 dana - no čini se da je Peloton ispravio grešku u roku.

Peloton je navodno izložio podatke o pretplatnicima

Prvo prijavio Zack Whittaker za TechCrunch, izloženi API omogućio je svima da povuku podatke privatnog korisničkog računa s poslužitelja Peloton, bez obzira na status računa. Prema Whittakerovom opisu:

Na pola mog prošlotjednog treninga u ponedjeljak popodne dobio sam poruku od sigurnosnog istraživača sa snimkom zaslona podataka mog računa na Pelotonu. Moj profil Peloton postavljen je na privatni, a popis mojih prijatelja namjerno je nula, tako da nitko ne može vidjeti moj profil, dob, grad ili povijest vježbanja.

Izvještaj je stigao od Jan Masters, istraživača sigurnosti na Partneri za ispitivanje olovke. Masters je otkrio da on može slati neovlaštene API zahtjeve poslužiteljima Pelotona. Zahtjevi su vratili podatke koji uključuju:

• Korisnički ID-ovi
• ID-ovi instruktora
• Članstvo u grupi
• Mjesto
• Statistika vježbanja
• Spol i dob
• Ako su u studiju ili nisu

Nakon što je otkrio potencijalno kršenje podataka, Masters je Pelotonu odgovorno otkrio nepropusni API. Najodgovornija otkrivanja pružatelju usluga daju 90 dana da popravi pogrešku, što je Masters i učinio.

Međutim, čini se da je Peloton, umjesto da u potpunosti popravi ranjivost, u početku samo ograničio pristup API-ja svojim članovima. Tada je svatko mogao stvoriti novi račun s mjesečnim članstvom i koristiti ga za pristup API-ju.

Unatoč daljnjim kontaktima partnera za ispitivanje olova, Peloton nije reagirao sve dok tvrtka za istraživanje sigurnosti nije zatražila daljnje objašnjenje za Peloton.

Ubrzo nakon što je uspostavljen kontakt s tiskovnim uredom u Pelotonu, imali smo kontakt izravno s Pelotonovim CISO-om, koji je bio novi na toj funkciji. Ranjivosti su uglavnom otklonjene u roku od 7 dana. Šteta je što na naše otkrivanje nismo pravovremeno reagirali, a također je sramota što smo morali uključiti novinara da bi nas se saslušalo.

TechCrunch je držao vijest o curenju API-ja sve dok Peloton nije riješio problem, što od tada i ima.

Povezano: Peloton vs. Nordictrack vs. Echelon: Najbolji trener bicikla u zatvorenom

Peloton 2021. na neravnoj stazi

Peloton je čest posjetitelj naslova, i to ne uvijek iz pravih razloga. Traka za trčanje Peloton Tread + opoziva se nakon tragične smrti malog djeteta i više slučajeva ozljeda. Istodobno se pozivaju na daljnju istragu drugih Pelotonovih proizvoda radi provjere sigurnosnih problema.

Povezano: Peloton se bori protiv sigurnosnog opoziva svog gaznoga sloja + trake za trčanje

Ako ste vlasnik trake za trčanje Peloton Tread +, proizvod je službeno opozvan 5. svibnja 2021. godine. The Stranica za podsjećanje na Peloton pruža više informacija o primanju punog povrata novca i vraćanju trake za trčanje.

Nakon smrti djeteta, Peloton izdaje novu sigurnosnu obavijest

Zbog incidenta je izvršni direktor Pelotona John Foley napisao kupcima e-poštu.

Pročitajte Dalje

O autoru