Peloton的漏洞API让任何人抓住骑手的私人帐户数据

2021-05-05 21:35:33

我的Peloton配置文件设置为私人,我的朋友的名单是故意零的,所以没有人可以查看我的个人资料,年龄,城市或锻炼历史记录。但是,一个错误允许任何人直接从Peloton的服务器中提取用户的私人帐户数据,即使他们的个人资料设置为私人。

Peloton是家庭健身品牌与室内固定自行车的同义词,拥有超过300多万用户。甚至拜登总统据说也拥有一个。单独的锻炼自行车成本为1,800美元,但任何人都可以注册每月订阅,加入各种课程。

正如拜登所揭开的那样(他的Peloton搬到白宫 - 假设秘密服务让他),笔在线测试合作伙伴的安全研究员,发现他可以在没有它检查的情况下对Peloton的API进行未经认实的请求确保允许该人请求。 (API允许两件事在互联网上互相交流,如Peloton自行车和存储用户数据的公司服务器。)

但暴露的API让他 - 以及互联网上的任何人 - 访问Peloton用户的年龄,性别,城市,体重,锻炼统计数据,如果是用户的生日,则在用户配置文件页面设置为私有时隐藏的详细信息。

硕士报告1月20日的Peloton泄漏API,有90天的截止日期来解决这个错误,安全研究人员向公司提供在详情公开之前要修复错误的标准窗口时间。

但这截止日期来了,去了,这个虫子没有修复,除了初步的电子邮件承认收到错误报告的初始电子邮件之外,大师没有听到公司。相反,Peloton仅限于其API的访问权限。但这只是意味着任何人都可以用每月成员资格注册并再次访问API。

TechCrunch在截止日期后联系了Peloton,以便询问为什么漏洞报告已被忽略,并且Peloton昨天确认它已经解决了漏洞。 (TechCrunch举行了这个故事,直到错误固定,以防止滥用。)

这是Peloton保持平台安全的优先事项,我们一直希望提高我们与外部安全社区合作的方法和过程。通过我们协调的漏洞泄露计划,安全研究员通知我们,他能够访问我们的API,并查看Peloton配置文件中提供的信息。我们采取了行动,并根据他的初步提交解决了这些问题,但我们很慢更新研究员了解我们的修复努力。展望未来,我们将与安全研究界进行合作工作,并在报告漏洞时更迅速地响应。我们要感谢Ken Munro通过我们的CVD计划提交报告,并开放与我们合作解决这些问题。

建立笔测试合作伙伴的Munro告诉TechCrunch:“Peloton在回应漏洞报告时有点失败,但在朝着正确的方向轻推之后,采取了适当的行动。漏洞披露程序不仅仅是网站上的页面;它需要整个组织的协调行动。“

但是留下的问题仍然存在。当反复被问及时,公司拒绝说明为什么它没有回应硕士漏洞报告。如果有没有恶意地利用漏洞,例如批量刮擦账户数据,也不知道。

Facebook,LinkedIn和Clubhouse都有所有堕落的受害者,缩短攻击,滥用访问API,以便在其平台上拉入有关用户的数据。但是,Peloton拒绝确认它是否有记录,以排除任何恶意利用其泄漏API。