Ο Peloton το 2021 κινείται από το κακό στο χειρότερο, καθώς εμφανίζονται αναφορές για πιθανή παραβίαση δεδομένων. Η παραβίαση φαίνεται να προέρχεται από ένα εκτεθειμένο API που επέτρεψε σε οποιονδήποτε να τραβήξει τις προσωπικές πληροφορίες των μελών του Peloton, συμπεριλαμβανομένων εκείνων με τις πιο ιδιωτικές ρυθμίσεις δεδομένων.

Κάνοντας τα πράγματα χειρότερα, ο ερευνητής ασφαλείας αποκάλυψε υπεύθυνα την ανακάλυψη του εκτεθειμένου API στο Peloton τον Ιανουάριο του 2021 χρησιμοποιώντας την τυπική προθεσμία 90 - αλλά φαίνεται ότι ο Peloton διόρθωσε το σφάλμα εντός του χρονικού πλαισίου.

Δεδομένα συνδρομητών που φέρεται να εκτίθενται στο Peloton

Αναφέρθηκε για πρώτη φορά από τον Zack Whittaker για TechCrunch, το εκτεθειμένο API επέτρεψε σε οποιονδήποτε να τραβήξει δεδομένα προσωπικού λογαριασμού χρήστη από διακομιστές Peloton, ανεξάρτητα από την κατάσταση του λογαριασμού. Σύμφωνα με την περιγραφή του Whittaker:

Στα μισά της προπόνησης το απόγευμα της Δευτέρας την περασμένη εβδομάδα, έλαβα ένα μήνυμα από έναν ερευνητή ασφαλείας με ένα στιγμιότυπο οθόνης των δεδομένων του λογαριασμού μου στο Peloton. Το προφίλ Peloton μου έχει οριστεί ως ιδιωτικό και η λίστα των φίλων μου είναι σκόπιμα μηδενική, οπότε κανείς δεν μπορεί να δει το προφίλ, την ηλικία, την πόλη ή το ιστορικό προπόνησής μου.

instagram viewer

Η έκθεση προήλθε από τον Jan Masters, ερευνητή ασφαλείας στο Συνεργάτες δοκιμής στυλό. Οι Δάσκαλοι διαπίστωσαν ότι μπορούσε να υποβάλει μη εξουσιοδοτημένα αιτήματα API σε διακομιστές Peloton. Τα αιτήματα επέστρεψαν δεδομένα όπως:

  • Αναγνωριστικά χρήστη
  • Αναγνωριστικά εκπαιδευτή
  • Ομάδα μέλους
  • Τοποθεσία
  • Στατιστικά προπόνησης
  • Φύλο και ηλικία
  • Εάν βρίσκονται στο στούντιο ή όχι

Αφού αποκάλυψε την πιθανή παραβίαση δεδομένων, οι Masters αποκάλυψαν υπεύθυνα το διαρροή API στο Peloton. Οι περισσότερες υπεύθυνες γνωστοποιήσεις παρέχουν στον πάροχο υπηρεσιών 90 ημέρες για να διορθώσει το σφάλμα, το οποίο έκανε ο Masters.

Ωστόσο, φαίνεται ότι αντί να επιδιορθώσει πλήρως την ευπάθεια, η Peloton αρχικά περιόρισε την πρόσβαση API στα μέλη της. Σε αυτό το σημείο, ο καθένας θα μπορούσε να δημιουργήσει έναν νέο λογαριασμό με μηνιαία συνδρομή και να τον χρησιμοποιήσει για πρόσβαση στο API.

Παρά την περαιτέρω επικοινωνία με τους Pen Test Partners, η Peloton παρέμεινε μη ανταποκρινόμενη έως ότου η εταιρεία έρευνας ασφάλειας επικοινωνούσε με την Peloton για περαιτέρω εξηγήσεις.

Λίγο μετά την επικοινωνία με το γραφείο Τύπου στο Peloton είχαμε άμεση επαφή από το CISO της Peloton, ο οποίος ήταν νέος στο ταχυδρομείο. Οι ευπάθειες επιδιορθώθηκαν σε μεγάλο βαθμό εντός 7 ημερών. Είναι κρίμα που η αποκάλυψή μας δεν ανταποκρίθηκε εγκαίρως και επίσης κρίμα που έπρεπε να εμπλέξουμε έναν δημοσιογράφο για να το ακούσουμε.

Η TechCrunch κράτησε τις ειδήσεις για τη διαρροή API έως ότου η Peloton επιλύσει το πρόβλημα, το οποίο έκτοτε έχει.

Σχετιζομαι με: Peloton εναντίον Nordictrack εναντίον Echelon: Ο καλύτερος εκπαιδευτής ποδηλάτων εσωτερικού χώρου

Ο Peloton το 2021 σε μια πονηρή διαδρομή

Η Peloton και η Επιτροπή Ασφάλειας Καταναλωτικών Προϊόντων των ΗΠΑ ανακοινώνουν εθελοντικά ανάκληση των προϊόντων Tread + και Tread της Peloton. Για περισσότερες πληροφορίες και για να συμμετάσχετε στην ανάκληση, επισκεφθείτε το #ανάκληση σελίδα https://t.co/I0h2yrSEyXpic.twitter.com/9zp2QMyH9x

- Peloton (@onepeloton) 5 Μαΐου 2021

Ο Peloton υπήρξε συχνός επισκέπτης στα πρωτοσέλιδα και όχι πάντα για τους σωστούς λόγους. Ο διάδρομος Peloton Tread + ανακαλείται μετά τον τραγικό θάνατο ενός μικρού παιδιού και πολλές περιπτώσεις τραυματισμού. Ταυτόχρονα, υπάρχουν κλήσεις για περαιτέρω διερεύνηση άλλων προϊόντων της Peloton για έλεγχο ζητημάτων ασφαλείας.

Σχετιζομαι με: Το Peloton καταπολεμά μια ανάκληση ασφάλειας του πέλματος του + του διαδρόμου

Εάν διαθέτετε διάδρομο Peloton Tread +, το προϊόν ανακλήθηκε επίσημα στις 5 Μαΐου 2021. ο Σελίδα ανάκλησης Peloton παρέχει περισσότερες πληροφορίες σχετικά με τη λήψη πλήρους επιστροφής χρημάτων και την επιστροφή του διαδρόμου σας.

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
Μετά το θάνατο ενός παιδιού, ο Peloton εκδίδει μια νέα ειδοποίηση ασφάλειας

Το περιστατικό ανάγκασε τον CEO της Peloton John Foley να γράψει ένα email στους πελάτες του.

Διαβάστε Επόμενο

Σχετικά θέματα
  • Ασφάλεια
  • Ειδήσεις τεχνολογίας
  • Αθλητισμός
  • Παραβίαση ασφαλείας
  • Καταλληλότητα
Σχετικά με τον Συγγραφέα
Γκάβιν Φίλιπς (843 Δημοσιευμένα άρθρα)

Ο Gavin είναι ο Junior Editor για Windows και Technology Explained, τακτικός συνεισφέρων στο Really Useful Podcast και ήταν ο συντάκτης για τον αδελφό ιστότοπο του MakeUseOf, Blocks Decoded. Έχει BA (Hons) Σύγχρονη γραφή με πρακτικές ψηφιακής τέχνης λεηλατημένη από τους λόφους του Devon, καθώς και πάνω από μια δεκαετία επαγγελματικής εμπειρίας γραφής. Απολαμβάνει άφθονο τσάι, επιτραπέζια παιχνίδια και ποδόσφαιρο.

Περισσότερα από τον Gavin Phillips

Εγγραφείτε στο Newsletter μας

Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!

Ένα ακόμη βήμα…!

Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.

.