Peloton's ellende gaat door met lekken die privégebruikersgegevens blootleggen

Peloton's 2021 gaat van kwaad tot erger nu er meldingen van een mogelijke datalek verschijnen. De inbreuk lijkt het gevolg te zijn van een blootgestelde API waarmee iedereen de privé-informatie van Peloton-leden kon ophalen, inclusief degenen met de meest persoonlijke gegevensinstellingen.

Om het nog erger te maken, heeft de beveiligingsonderzoeker op verantwoorde wijze de ontdekking van de blootgestelde API aan Peloton bekendgemaakt terug in januari 2021 met de standaard deadline van 90 - maar het lijkt erop dat Peloton de bug binnen het tijdsbestek heeft opgelost.

Peloton zou abonneegegevens openbaar hebben gemaakt

Voor het eerst gerapporteerd door Zack Whittaker voor TechCrunchstelde de blootgestelde API iedereen in staat om persoonlijke gebruikersaccountgegevens van Peloton-servers te halen, ongeacht de accountstatus. Volgens de beschrijving van Whittaker:

Halverwege mijn maandagmiddagtraining vorige week kreeg ik een bericht van een beveiligingsonderzoeker met een screenshot van mijn Peloton-accountgegevens. Mijn Peloton-profiel is ingesteld op privé en de lijst van mijn vrienden is opzettelijk nul, zodat niemand mijn profiel, leeftijd, stad of trainingsgeschiedenis kan zien.

instagram viewer

Het rapport kwam van Jan Masters, een beveiligingsonderzoeker bij Pen-testpartners. Masters ontdekte dat hij ongeautoriseerde API-verzoeken kon doen aan Peloton-servers. De verzoeken leverden gegevens op, waaronder:

• Gebruikers-ID's
• Instructeur-ID's
• Groepslidmaatschap
• Plaats
• Trainingsstatistieken
• Geslacht en leeftijd
• Of ze nu in de studio zijn of niet

Na het blootleggen van het mogelijke datalek, heeft Masters op verantwoorde wijze de lekkende API aan Peloton bekendgemaakt. De meeste verantwoorde onthullingen geven de serviceprovider 90 dagen om de bug op te lossen, wat Masters deed.

Het lijkt er echter op dat Peloton in plaats van de kwetsbaarheid volledig te patchen, aanvankelijk alleen de API-toegang tot zijn leden beperkte. Op dat moment kon iedereen een nieuw account met een maandelijks lidmaatschap aanmaken en dat gebruiken om toegang te krijgen tot de API.

Ondanks verder contact van Pen Test Partners, reageerde Peloton niet totdat het beveiligingsonderzoeksbureau contact opnam met Peloton voor verdere uitleg.

Kort nadat er contact was gelegd met het persbureau van Peloton, hadden we rechtstreeks contact met de CISO van Peloton, die nieuw was. De kwetsbaarheden waren grotendeels binnen 7 dagen verholpen. Het is jammer dat er niet tijdig op onze onthulling werd gereageerd en ook jammer dat we een journalist moesten inschakelen om naar hen te kunnen luisteren.

TechCrunch hield het nieuws over het API-lek totdat Peloton het probleem oploste, wat het sindsdien heeft.

Verwant: Peloton Vs. Nordictrack Vs. Echelon: de beste fietstrainer voor binnenshuis

Peloton's 2021 Op een hobbelig spoor

Peloton is een frequente bezoeker van de krantenkoppen, en niet altijd om de juiste redenen. De Peloton Tread + -loopband wordt teruggeroepen na de tragische dood van een jong kind en meerdere gevallen van letsel. Tegelijkertijd zijn er oproepen voor verder onderzoek naar andere Peloton-producten om te controleren op beveiligingsproblemen.

Verwant: Peloton vecht tegen een veiligheidsherinnering van zijn loopvlak + loopband

Als u een Peloton Tread + -loopband bezit, is het product officieel teruggeroepen op 5 mei 2021. De Peloton Recall-pagina biedt meer informatie over het ontvangen van een volledige terugbetaling en het retourneren van uw loopband.

Na de dood van een kind geeft Peloton een nieuwe veiligheidsmededeling uit

Door het incident schreef John Foley, CEO van Peloton, een e-mail naar klanten.

Lees Volgende

Over de auteur