O 2021 do Peloton está indo de mal a pior, à medida que surgem relatórios de uma possível violação de dados. A violação parece resultar de uma API exposta que permitiu a qualquer pessoa obter informações privadas de membros do Peloton, incluindo aqueles com as configurações de dados mais privadas.
Para piorar as coisas, o pesquisador de segurança revelou de forma responsável a descoberta da API exposta ao Peloton em janeiro de 2021 usando o prazo padrão de 90 - mas parece que o Peloton corrigiu o bug dentro do prazo.
Peloton Supostamente Expostos Dados de Assinantes
Relatado pela primeira vez por Zack Whittaker para TechCrunch, a API exposta permitia que qualquer pessoa extraísse dados de contas de usuários privados dos servidores Peloton, independentemente do status da conta. De acordo com a descrição de Whittaker:
No meio do meu treino de segunda à tarde na semana passada, recebi uma mensagem de um pesquisador de segurança com uma captura de tela dos dados da minha conta do Peloton. Meu perfil do Peloton está definido como privado e a lista de meus amigos é deliberadamente zero, então ninguém pode ver meu perfil, idade, cidade ou histórico de exercícios.
O relatório veio de Jan Masters, pesquisador de segurança da Parceiros de Pen Test. Masters descobriu que ele poderia fazer solicitações de API não autorizadas para servidores Peloton. As solicitações retornaram dados incluindo:
- IDs de usuário
- IDs de instrutor
- Membros do Grupo
- Localização
- Estatísticas de treino
- Sexo e idade
- Se eles estão no estúdio ou não
Depois de descobrir a potencial violação de dados, a Masters revelou de forma responsável a API com vazamento para o Peloton. A maioria das divulgações responsáveis dá ao provedor de serviços 90 dias para consertar o bug, o que Masters fez.
No entanto, parece que em vez de corrigir a vulnerabilidade por completo, o Peloton inicialmente apenas restringiu o acesso à API a seus membros. Nesse ponto, qualquer um poderia criar uma nova conta com uma assinatura mensal e usá-la para acessar a API.
Apesar do contato adicional da Pen Test Partners, o Peloton permaneceu sem resposta até que a empresa de pesquisa de segurança entrou em contato com o Peloton para maiores explicações.
Logo após o contato com a assessoria de imprensa de Peloton, tivemos contato direto do CISO de Peloton, que era novo no cargo. As vulnerabilidades foram corrigidas em grande parte em 7 dias. É uma pena que nossa divulgação não tenha sido respondida em tempo hábil e também uma pena que tivemos que envolver um jornalista para sermos ouvidos.
O TechCrunch segurou a notícia do vazamento da API até que o Peloton resolvesse o problema, o que tem acontecido desde então.
Relacionado: Peloton vs. Nordictrack vs. Echelon: o melhor treinador de bicicletas indoor
2021 do Peloton em uma trilha acidentada
A Peloton e a Comissão de Segurança de Produtos do Consumidor dos EUA estão anunciando um recall voluntário dos produtos Tread + e Tread da Peloton. Para mais informações e para participar do recall, visite nosso #lembrar página https://t.co/I0h2yrSEyXpic.twitter.com/9zp2QMyH9x
- Peloton (@onepeloton) 5 de maio de 2021
Peloton tem sido um visitante frequente das manchetes, e nem sempre pelos motivos certos. A esteira Peloton Tread + está sendo relembrada após a trágica morte de uma criança e vários casos de ferimentos. Ao mesmo tempo, há chamadas para uma investigação mais aprofundada em outros produtos Peloton para verificar se há problemas de segurança.
Relacionado: Peloton está lutando contra um recall de segurança de sua esteira + esteira
Se você possui uma esteira Peloton Tread +, o produto foi oficialmente recolhido em 5 de maio de 2021. O Página Peloton Recall fornece mais informações sobre como receber um reembolso total e devolver sua esteira.
O incidente fez com que o CEO da Peloton, John Foley, escrevesse um e-mail para os clientes.
Leia a seguir
- Segurança
- Notícias de tecnologia
- Esportes
- Falha de segurança
- Ginástica
Gavin é o Editor Júnior para Windows e Technology Explained, um contribuidor regular do Really Useful Podcast e foi o Editor do site irmão da MakeUseOf com foco em criptografia, Blocks Decoded. Ele tem um BA (Hons) em Redação Contemporânea com Práticas de Arte Digital pilhadas nas colinas de Devon, bem como mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá, jogos de tabuleiro e futebol.
Assine a nossa newsletter
Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!
Mais um passo…!
Confirme o seu endereço de e-mail no e-mail que acabamos de enviar.
