Pelotonin vuosi 2021 on siirtymässä huonosta huonompaan, kun ilmoituksia mahdollisesta tietorikkomuksesta ilmenee. Rikkomus näyttää johtuvan paljastetusta sovellusliittymästä, jonka avulla kuka tahansa pystyi hankkimaan Peloton-jäsenten yksityiset tiedot, mukaan lukien ne, joilla on kaikkein yksityisimmät data-asetukset.

Asiat pahentuvat, ja turvallisuustutkija paljasti vastuullisen peloton API: n löytämisen Pelotonille takaisin tammikuussa 2021 käyttäen normaalia 90-määräaikaa - mutta näyttää siltä, ​​että Peloton korjasi virheen määräajassa.

Peloton väitetysti paljastetut tilaajatiedot

Ensimmäisen kerran Zack Whittaker ilmoitti TechCrunch, paljastettu sovellusliittymä antoi kenellekään mahdollisuuden hankkia yksityisen käyttäjätilin tietoja Peloton-palvelimilta tilin tilasta riippumatta. Whittakerin kuvauksen mukaan:

Viime viikon maanantai-iltapäiväharjoituksen puolivälissä sain tietoturvatutkijalta viestin, jossa oli kuvakaappaus Peloton-tilitiedoistani. Peloton-profiilini on asetettu yksityiseksi ja ystäväni luettelo on tarkoituksella nolla, joten kukaan ei voi tarkastella profiilini, ikäni, kaupunki tai harjoitushistoriani.

instagram viewer

Raportti tuli Jan Mastersilta, tietoturvatutkijalta Kynätestikumppanit. Masters havaitsi voivansa tehdä luvattomia API-pyyntöjä Peloton-palvelimille. Pyynnöt palauttivat tietoja, mukaan lukien:

  • Käyttäjätunnukset
  • Ohjaajan tunnukset
  • Ryhmäjäsenyys
  • Sijainti
  • Harjoitustilastot
  • Sukupuoli ja ikä
  • Jos he ovat studiossa vai eivät

Paljastettuaan mahdollisen tietorikkomuksen Masters paljasti vastuullisen API: n Pelotonille vastuullisesti. Useimmat vastuulliset tiedot antavat palveluntarjoajalle 90 päivän vian korjaamiseen, minkä Masters teki.

Vaikuttaa kuitenkin siltä, ​​että Peloton ei pelkästään korjaa haavoittuvuutta, vaan alun perin vain rajoitti API: n käyttöä jäsenilleen. Siinä vaiheessa kuka tahansa voi luoda uuden tilin, jolla on kuukausittainen jäsenyys, ja käyttää sitä API: n käyttämiseen.

Huolimatta Pen Test Partners -kumppaneiden jatkuneesta yhteydenpidosta, Peloton ei vastannut, kunnes turvallisuustutkimusyritys otti yhteyttä Pelotoniin lisäselvityksiä varten.

Pian yhteydenoton jälkeen Pelotonin lehdistötoimistoomme meillä oli yhteys suoraan Pelotonin CISO: lta, joka oli uusi virassa. Haavoittuvuudet korjattiin suurimmaksi osaksi 7 päivän kuluessa. On sääli, että paljastukseemme ei vastattu ajoissa, ja myös sääli, että jouduimme ottamaan mukaan toimittajan, jotta meidät kuunteltaisiin.

TechCrunch piti uutisia API-vuotosta, kunnes Peloton ratkaisi ongelman, jota sillä on sittemmin.

Liittyvät: Peloton vs. Nordictrack vs. Echelon: Paras sisäpyörän kouluttaja

Pelotonin vuosi 2021 kuoppaisella radalla

Peloton ja Yhdysvaltain kulutustuoteturvallisuuskomissio ovat ilmoittaneet Pelotonin Tread +- ja Tread-tuotteiden vapaaehtoisesta markkinoinnista. Jos haluat lisätietoja ja osallistua palautukseen, käy osoitteessa #palauttaa mieleen sivu https://t.co/I0h2yrSEyXpic.twitter.com/9zp2QMyH9x

- Peloton (@onepeloton) 5. toukokuuta 2021

Peloton on ollut usein vierailija otsikoissa, eikä aina oikeista syistä. Peloton Tread + juoksumatto kutsutaan takaisin pienen lapsen traagisen kuoleman ja useiden tapaturmien jälkeen. Samalla vaaditaan lisätutkimuksia muista Peloton-tuotteista turvallisuuskysymysten varalta.

Liittyvät: Peloton taistelee kulutuspinnan + juoksumaton turvallisuuden palauttamiseksi

Jos omistat Peloton Tread + -juoksumaton, tuote palautettiin virallisesti 5. toukokuuta 2021. Peloton Recall -sivu tarjoaa lisätietoja täyden hyvityksen saamisesta ja juoksumaton palauttamisesta.

Sähköposti
Lapsen kuoleman jälkeen Peloton antaa uuden turvallisuusilmoituksen

Tapahtuma sai Pelotonin toimitusjohtajan John Foleyn kirjoittamaan sähköpostin asiakkaille.

Lue seuraava

Liittyvät aiheet
  • Turvallisuus
  • Tech News
  • Urheilu
  • Turvallisuusrikkomus
  • Kunto
Kirjailijasta
Gavin Phillips (Julkaistu 843 artikkelia)

Gavin on Windows and Technology Explained -ohjelman nuorempi toimittaja, säännöllinen avustaja todella hyödyllisessä podcastissa, ja hän oli MakeUseOfin salakeskeisen sisarussivuston, Blocks Decoded, toimittaja. Hänellä on nykytaiteen kandidaatin tutkinto (Hons) digitaalisilla taidekäytännöillä, jotka on ryöstetty Devonin kukkuloilta, sekä yli vuosikymmenen ammattitaitoinen kirjoituskokemus. Hän nauttii runsaasta määrästä teetä, lautapelejä ja jalkapalloa.

Lisää Gavin Phillipsiltä

Tilaa uutiskirjeemme

Liity uutiskirjeeseemme, jossa on teknisiä vinkkejä, arvosteluja, ilmaisia ​​e-kirjoja ja erikoistarjouksia!

Vielä yksi askel !!!

Vahvista sähköpostiosoitteesi juuri lähettämässäsi sähköpostiviestissä.

.