Peloton不是唯一暴露私人帐户数据的唯一锻炼巨头。竞争运动巨头Echelon也有一个漏洞的API,几乎任何人都可以访问骑手的帐户信息。
Fitness Technology Company Echelon,如Peloton,提供各种锻炼五金 - 自行车,赛艇手和跑步机 - 作为议员在家里锻炼的更便宜的替代品。它的应用程序还允许会员加入虚拟类,而无需锻炼设备。
但是,钢笔测试合作伙伴的安全研究员Jan Masters发现Echelon的API允许他访问账户数据 - 包括任何其他成员的名称,城市,年龄,性别,电话号码,体重,生日和锻炼统计数据和历史在直播或预先录制的课程中。 API还披露有关成员锻炼设备的一些信息,例如其序列号。
如果您召回的话,硕士们发现了一个类似的Beloton API的错误,这让他直接从Peloton的服务器中直接从Peloton的服务器中取出私有用户帐户数据,而无需检查,以确保他(或其他任何人)被允许请求。
Echelon的API允许其成员的设备和应用程序通过Internet与Echelon的服务器交谈。 API应该检查成员的设备是否被授权通过检查授权令牌来提取用户数据。但硕士表示,令牌不需要请求数据。
大师也发现了另一个允许成员在API上的访问控制较弱的情况下将数据拉动数据。 Masters表示,此错误使echelon的服务器枚举用户帐户ID和Scrape帐户数据很容易。 Facebook,LinkedIn,Peloton和Clubhouse都有堕落的受害者来刮擦滥用API,以便在其平台上拉动有关用户的数据。
肯蒙罗是笔测试合作伙伴的创始人,透露了1月20日在Twitter直接留言中欣赏普遍的漏洞,因为公司没有公开的脆弱性披露程序(它现在正在“正在审查”中)。但研究人员在报告提交后90天内没有收到回复,标准的时间安全研究人员在公开的详细信息之前向公司提供修复缺陷。
TechCrunch要求Echelon进行评论,并被告知,主人确定的安全缺陷 - 他在博客帖子中写作 - 在1月份修正。
“我们聘请了外部服务来执行系统的渗透测试并识别漏洞。我们采取了适当的行动来纠正这些,其中大部分是在2021年1月21日实施的。然而,梯队的立场是用户ID不是PII [个人身份信息,“克里斯马丁·雷隆的首席信息安全官员表示,电子邮件。
Echelon没有命名外部安全公司,但在公司表示保留详细的日志时表示,它没有说它是否发现了任何恶意剥削的证据。
但是Munro在固定漏洞的情况下争取了公司的主张,并提供了有证据表明其中一个漏洞未在4月中旬未修复,而另一个漏洞仍可能被剥削,最近仍然是本周的漏洞。
当被问到清楚起见时,梯队没有解决差异。 “[安全缺陷]已被修复,”马丁重申了。
Echelon还确认它修复了一个允许用户未满13岁以上的错误。许多公司阻止了13岁以下儿童的机会,以避免遵守儿童的在线隐私保护法案,或委员会,美国法律,这是关于可以在儿童收集的数据公司收集的严格规则。 TechCrunch本周能够创建一个梯队账户,年龄小于13,尽管页面说:“最低使用年龄是13岁。”