数据泄漏使Peloton可怕,没有好的,真的糟糕的一天甚至更糟

2021-05-06 05:31:22

Peloton的日子令人艰难的一天。首先,该公司回忆起两个跑步机模型后,一个6岁的孩子死亡,在其中一个设备下。现在出现了Peloton暴露敏感的用户数据,即使公司知道泄漏。难怪公司的股票价格在周三下跌15%。

Peloton提供一系列网络连接的固定自行车和跑步机。该公司还提供一个在线服务,允许用户加入课程,与培训师一起工作,或与其他用户一起锻炼。 10月,Peloton告诉投资者,它拥有300万会员的社区。成员可以将帐户设置为公共,所以朋友可以查看所得级和锻炼统计数据等详细信息,或者用户可以选择要私有的配置文件。

安全咨询笔的研究人员周三的伙伴报告说,即使在世界任何地方的任何地方都可以为世界任何地方提供所有用户的缺陷,即使是私密的情况。所需要的只是了解Peloton用于在设备和公司服务器之间传输数据的错误编程接口。

ARS同意扣留另一个暴露的个人数据,因为Peloton仍在努力保护它。

星期三发布的博客邮票测试合作伙伴表示,API不需要在提供信息之前进行身份验证。公司研究人员表示,他们报告了1月份接触Peloton,并及时接受了确认。然后,星期三的帖子说,Peloton沉默了。

研究人员表示,两周后,该公司默默地提供了部分修复。 API根本没有提供没有所需身份验证的用户数据,而是仅向有帐户的人提供数据。这一变化总比没有好,但它仍然让订阅在线服务的任何人获取任何其他用户的私人细节。

当笔测试合作伙伴告知Peloton的修复不足,他们说他们没有回应。笔文本合作伙伴研究员Ken Munro表示,他在LinkedIn上查找了公司高管。研究人员表示,此修复仅在TechCrunch Reporter Zack Whittaker之后才会报告泄漏,询问它。

"我非常生气,但想到了最后一次拍摄,然后放下在Peloton Users,&#34上的0天; Munro告诉我。 "我问Zack W击中他们的新闻处。这是一个神奇的效果 - 在几小时内,我收到了来自他们的新CISO的电子邮件,他们在帖子中新的并调查,发现了他们的响应较弱,并计划修复错误。"

一位专业代表拒绝讨论记录的时间表,但确实提供了以下罐装反应:

它' Peloton的优先事项使我们的平台安全和我们'重新希望提高我们与外部安全社区合作的方法和过程。通过我们协调的漏洞泄露计划,安全研究员通知我们,他能够访问我们的API,并查看Peloton配置文件中提供的信息。我们采取了行动并根据他的初步提交解决问题,但我们很慢更新研究人员了解我们的修复努力。展望未来,我们将与安全研究界进行合作工作,并在报告漏洞时更迅速地响应。我们要感谢Ken Munro通过我们的CVD计划提交报告,并开放与我们合作解决这些问题。

事件是最新提醒的是,在线存储的数据通常是免费的,即使公司也不是。这让人们绑定了。一方面,共享权重,锻炼统计数据和其他数据通常可以帮助用户获得最大的培训会话或组锻炼。另一......好吧,你知道。

我通常尝试伪造我提供的大部分数据。即使我提供虚假名称,地址和电话号码,我使用的大部分服务都需要批准购买。没有附加到用户名或其他数据的详细信息通常可以最大限度地减少如此之类的数据泄漏的刻度。