Pelotons Weh geht weiter mit dem Leck, private Benutzerdaten freizulegen

Mai 6, 2021 Eskere Guru

Pelotons 2021 wird immer schlechter, da Berichte über einen möglichen Datenverstoß auftauchen. Der Verstoß scheint auf eine offen gelegte API zurückzuführen zu sein, mit der jeder die privaten Informationen von Peloton-Mitgliedern abrufen konnte, einschließlich derer mit den privatesten Dateneinstellungen.

Erschwerend kam hinzu, dass der Sicherheitsforscher Peloton bereits im Januar 2021 die Entdeckung der exponierten API unter Verwendung der Standard-90-Frist verantwortungsvoll mitgeteilt hatte – aber es scheint, dass Peloton den Fehler innerhalb des Zeitrahmens behoben hat.

Angeblich offen gelegte Teilnehmerdaten von Peloton

Die exponierte API wurde erstmals von Zack Whittaker für TechCrunch gemeldet und ermöglichte es jedem, private Benutzerkontodaten von Peloton-Servern abzurufen, unabhängig vom Kontostatus. Gemäß Whittakers Beschreibung:

In der Mitte meines Trainings am Montagnachmittag letzte Woche erhielt ich eine Nachricht von einem Sicherheitsforscher mit einem Screenshot meiner Peloton-Kontodaten. Mein Peloton-Profil ist auf privat eingestellt, und die Liste meiner Freunde ist absichtlich Null, sodass niemand mein Profil, mein Alter, meine Stadt oder meinen Trainingsverlauf anzeigen kann.

Der Bericht stammt von Jan Masters, einem Sicherheitsforscher bei Pen Test Partners . Masters stellte fest, dass er nicht autorisierte API-Anfragen an Peloton-Server richten konnte. Die Anfragen gaben Daten zurück, einschließlich:

Benutzer-IDs
Ausbilder-IDs
Gruppenmitgliedschaft
Ort
Trainingsstatistiken
Geschlecht und Alter
Ob sie im Studio sind oder nicht

Nachdem Masters den potenziellen Datenverstoß aufgedeckt hatte, gab er Peloton die undichte API verantwortungsbewusst bekannt. Die meisten verantwortlichen Angaben geben dem Dienstanbieter 90 Tage Zeit, um den Fehler zu beheben, den Masters gemacht hat.

Es scheint jedoch, dass Peloton den API-Zugriff zunächst nur auf seine Mitglieder beschränkt hat, anstatt die Sicherheitsanfälligkeit vollständig zu beheben. Zu diesem Zeitpunkt kann jeder ein neues Konto mit einer monatlichen Mitgliedschaft erstellen und damit auf die API zugreifen.

Trotz weiterer Kontakte von Pen Test Partners reagierte Peloton nicht, bis das Sicherheitsforschungsunternehmen Peloton um weitere Erklärungen bat.

Kurz nachdem Kontakt mit der Pressestelle in Peloton aufgenommen worden war, hatten wir direkten Kontakt mit Pelotons CISO, der neu in der Post war. Die Sicherheitslücken wurden größtenteils innerhalb von 7 Tagen behoben. Es ist eine Schande, dass auf unsere Offenlegung nicht rechtzeitig reagiert wurde, und es ist auch eine Schande, dass wir einen Journalisten einbeziehen mussten, um gehört zu werden.

TechCrunch hielt die Nachricht vom API-Leck bereit, bis Peloton das Problem behoben hat, das es seitdem hat.

Pelotons 2021 auf einer holprigen Strecke

Peloton und die US-amerikanische Kommission für Sicherheit von Verbraucherprodukten kündigen einen freiwilligen Rückruf der Produkte Tread + und Tread von Peloton an. Weitere Informationen und die Teilnahme am Rückruf finden Sie auf unserer # Rückrufseite https://t.co/I0h2yrSEyX pic.twitter.com/9zp2QMyH9x
– Peloton (@onepeloton), 5. Mai 2021

Peloton war ein häufiger Besucher der Schlagzeilen, und das nicht immer aus den richtigen Gründen. Das Peloton Tread + Laufband wird nach dem tragischen Tod eines kleinen Kindes und mehreren Verletzungsfällen zurückgerufen. Gleichzeitig werden weitere Untersuchungen zu anderen Peloton-Produkten gefordert, um nach Sicherheitsproblemen zu suchen.

Wenn Sie ein Peloton Tread + Laufband besitzen, wurde das Produkt am 5. Mai 2021 offiziell zurückgerufen. Auf der Peloton Recall-Seite finden Sie weitere Informationen zum Erhalt einer vollständigen Rückerstattung und zur Rücksendung Ihres Laufbands.