Peloton'un Sorunları, Özel Kullanıcı Verilerini Açığa Çıkaran Sızıntıyla Devam Ediyor

Peloton'un 2021'i, potansiyel bir veri ihlali raporları ortaya çıktıkça daha da kötüye gidiyor. İhlal, en özel veri ayarlarına sahip olanlar da dahil olmak üzere, herkesin Peloton üyelerinin özel bilgilerini almasına izin veren açık bir API'den kaynaklanıyor gibi görünüyor.

Sorunları daha da kötüleştiren güvenlik araştırmacısı, maruz kalan API'nin keşfini sorumlu bir şekilde Peloton'a açıkladı standart 90 son teslim tarihini kullanarak Ocak 2021'de geri döndü - ancak görünen o ki, Peloton hatayı zaman çerçevesi içinde düzeltti.

Peloton'un Abone Verilerini Maruz Bıraktığı İddiası

İlk olarak Zack Whittaker tarafından bildirildi TechCrunch, açığa çıkan API, hesap durumu ne olursa olsun, herkesin özel kullanıcı hesabı verilerini Peloton sunucularından çekmesine izin verdi. Whittaker'ın açıklamasına göre:

Geçen hafta Pazartesi öğleden sonra antrenmanımın yarısında, bir güvenlik araştırmacısından Peloton hesap verilerimin ekran görüntüsünü içeren bir mesaj aldım. Peloton profilim özel olarak ayarlandı ve arkadaşımın listesi kasıtlı olarak sıfır, bu nedenle hiç kimse profilimi, yaşımı, şehrimi veya antrenman geçmişimi göremez.

instagram viewer

Rapor, bir güvenlik araştırmacısı olan Jan Masters'tan geldi. Kalem Testi Ortakları. Masters, Peloton sunucularına yetkisiz API talepleri yapabileceğini buldu. İstekler aşağıdakileri içeren verileri döndürdü:

• Kullanıcı kimlikleri
• Eğitmen kimlikleri
• Grup üyeliği
• yer
• Egzersiz istatistikleri
• Cinsiyet ve yaş
• Stüdyoda mı yoksa değil mi

Olası veri ihlalini ortaya çıkardıktan sonra, Masters sızdıran API'yi Peloton'a sorumlu bir şekilde açıkladı. Sorumlu ifşaatların çoğu hizmet sağlayıcıya hatayı düzeltmesi için 90 gün verir, bu da Masters'ın yaptığı gibi.

Ancak, görünen o ki, güvenlik açığını tamamen yamamak yerine, Peloton başlangıçta sadece üyelerine API erişimini kısıtladı. Bu noktada, herkes aylık üyelikle yeni bir hesap oluşturabilir ve bunu API'ye erişmek için kullanabilir.

Pen Test Ortaklarıyla daha fazla temas kurmasına rağmen Peloton, güvenlik araştırma şirketi daha fazla açıklama için Peloton'a ulaşana kadar tepkisiz kaldı.

Peloton'daki basın bürosuyla iletişime geçildikten kısa bir süre sonra, yeni görevde olan Peloton'un CISO'su ile doğrudan temas kurduk. Güvenlik açıkları büyük ölçüde 7 gün içinde giderildi. Açıklamamıza zamanında yanıt verilmemesi ve ayrıca dinlenmek için bir gazeteciyi dahil etmek zorunda kalmamız utanç verici.

TechCrunch, Peloton o zamandan beri yaşadığı sorunu çözene kadar API sızıntısı haberini tuttu.

İlişkili: Peloton Vs. Nordictrack Vs. Echelon: En İyi Kapalı Alan Bisikleti Eğitmeni

Peloton'un 2021'i Engebeli Bir Pistte

Peloton, manşetlere sık sık ziyaret edildi ve her zaman doğru nedenlerle değil. Peloton Tread + koşu bandı, küçük bir çocuğun trajik ölümü ve çok sayıda yaralanma vakasının ardından geri çağrılıyor. Aynı zamanda, güvenlik sorunlarını kontrol etmek için diğer Peloton ürünleri hakkında daha fazla araştırma yapılması için çağrılar var.

İlişkili: Peloton, Koşu Bandı + Koşu Bandı İçin Güvenlik Çağrısıyla Mücadelede

Peloton Tread + koşu bandına sahipseniz, ürün resmi olarak 5 Mayıs 2021'de geri çağrıldı. Peloton Hatırlama sayfası tam bir geri ödeme alma ve koşu bandınızı iade etme hakkında daha fazla bilgi sağlar.

Bir Çocuğun Ölümünden Sonra Peloton Yeni Bir Güvenlik Bildirimi Yayınladı

Olay, Peloton CEO'su John Foley'nin müşterilere bir e-posta yazmasına neden oldu.

Sonrakini Oku

Yazar hakkında