Pelotons 2021 wird immer schlechter, da Berichte über einen möglichen Datenverstoß auftauchen. Der Verstoß scheint auf eine offen gelegte API zurückzuführen zu sein, mit der jeder die privaten Informationen von Peloton-Mitgliedern abrufen konnte, einschließlich derer mit den privatesten Dateneinstellungen.
Um die Sache noch schlimmer zu machen, gab der Sicherheitsforscher Peloton verantwortungsbewusst die Entdeckung der exponierten API bekannt im Januar 2021 unter Verwendung der Standardfrist von 90 - aber es scheint, dass Peloton den Fehler innerhalb des Zeitrahmens behoben hat.
Angeblich offen gelegte Teilnehmerdaten von Peloton
Zuerst berichtet von Zack Whittaker für TechCrunchDie exponierte API ermöglichte es jedem, private Benutzerkontodaten von Peloton-Servern abzurufen, unabhängig vom Kontostatus. Gemäß Whittakers Beschreibung:
In der Mitte meines Trainings am Montagnachmittag letzte Woche erhielt ich eine Nachricht von einem Sicherheitsforscher mit einem Screenshot meiner Peloton-Kontodaten. Mein Peloton-Profil ist auf privat eingestellt, und die Liste meiner Freunde ist absichtlich Null, sodass niemand mein Profil, mein Alter, meine Stadt oder meinen Trainingsverlauf anzeigen kann.
Der Bericht stammte von Jan Masters, einem Sicherheitsforscher bei Pen Test Partner. Masters stellte fest, dass er nicht autorisierte API-Anfragen an Peloton-Server richten konnte. Die Anfragen gaben Daten zurück, einschließlich:
- Benutzer-IDs
- Ausbilder-IDs
- Gruppenmitgliedschaft
- Ort
- Trainingsstatistiken
- Geschlecht und Alter
- Ob sie im Studio sind oder nicht
Nachdem Masters den möglichen Datenverstoß aufgedeckt hatte, gab er Peloton die undichte API verantwortungsbewusst bekannt. Die meisten verantwortlichen Angaben geben dem Dienstanbieter 90 Tage Zeit, um den Fehler zu beheben, den Masters gemacht hat.
Es scheint jedoch, dass Peloton den API-Zugriff zunächst nur auf seine Mitglieder beschränkt hat, anstatt die Sicherheitsanfälligkeit vollständig zu beheben. Zu diesem Zeitpunkt kann jeder ein neues Konto mit einer monatlichen Mitgliedschaft erstellen und damit auf die API zugreifen.
Trotz weiterer Kontakte von Pen Test Partners reagierte Peloton nicht, bis das Sicherheitsforschungsunternehmen Peloton um weitere Erklärungen bat.
Kurz nachdem Kontakt mit der Pressestelle in Peloton aufgenommen worden war, hatten wir direkten Kontakt mit Pelotons CISO, der neu in der Post war. Die Sicherheitslücken wurden größtenteils innerhalb von 7 Tagen behoben. Es ist eine Schande, dass auf unsere Offenlegung nicht rechtzeitig reagiert wurde, und es ist auch eine Schande, dass wir einen Journalisten einbeziehen mussten, um gehört zu werden.
TechCrunch hielt die Nachricht über das API-Leck bereit, bis Peloton das Problem behoben hatte, das es seitdem hat.
Verbunden: Peloton Vs. Nordictrack Vs. Echelon: Der beste Indoor Bike Trainer
Pelotons 2021 auf einer holprigen Strecke
Peloton und die US-amerikanische Kommission für Sicherheit von Verbraucherprodukten kündigen einen freiwilligen Rückruf der Produkte Tread + und Tread von Peloton an. Für weitere Informationen und um am Rückruf teilzunehmen, besuchen Sie unsere #erinnern Seite https://t.co/I0h2yrSEyXpic.twitter.com/9zp2QMyH9x
- Peloton (@onepeloton) 5. Mai 2021
Peloton war ein häufiger Besucher der Schlagzeilen, und das nicht immer aus den richtigen Gründen. Das Peloton Tread + Laufband wird nach dem tragischen Tod eines kleinen Kindes und mehreren Verletzungsfällen zurückgerufen. Gleichzeitig werden weitere Untersuchungen zu anderen Peloton-Produkten gefordert, um nach Sicherheitsproblemen zu suchen.
Verbunden: Peloton kämpft gegen einen Sicherheitsrückruf seines Laufbandes + Laufbandes
Wenn Sie ein Peloton Tread + Laufband besitzen, wurde das Produkt am 5. Mai 2021 offiziell zurückgerufen. Das Peloton Recall Seite Weitere Informationen zum Erhalt einer vollständigen Rückerstattung und zur Rückgabe Ihres Laufbands.
Der Vorfall veranlasste John Foley, CEO von Peloton, eine E-Mail an die Kunden zu schreiben.
Weiter lesen
- Sicherheit
- Tech News
- Sport
- Sicherheitslücke
- Fitness
Gavin ist der Junior Editor für Windows and Technology Explained, der regelmäßig Beiträge zum Really Useful Podcast verfasst, und war Editor für MakeUseOfs kryptofokussierte Schwestersite Blocks Decoded. Er hat einen BA (Hons) für zeitgenössisches Schreiben mit Praktiken der digitalen Kunst, die aus den Hügeln von Devon geplündert wurden, sowie über ein Jahrzehnt Berufserfahrung im Schreiben. Er genießt reichlich Tee, Brettspiele und Fußball.
Abonnieren Sie unseren Newsletter
Melden Sie sich für unseren Newsletter an, um technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote zu erhalten!
Noch ein Schritt…!
Bitte bestätigen Sie Ihre E-Mail-Adresse in der E-Mail, die wir Ihnen gerade gesendet haben.