Różności i nowinki technologia

Wyciek danych sprawia, że ​​Straszny, niedobry, naprawdę zły dzień Pelotona jest jeszcze gorszy

Wyciek danych sprawia, że ​​Straszny, niedobry, naprawdę zły dzień Pelotona jest jeszcze gorszy

Peleton

Peleton ma ciężki dzień. Najpierw firma przypomniała sobie dwa modele bieżni po śmierci 6-letniego dziecka, które zostało wciągnięte pod jedno z urządzeń. Teraz przychodzi wiadomość, że Peloton ujawnił poufne dane użytkowników, nawet po tym, jak firma dowiedziała się o wycieku. Nic dziwnego, że w środę cena akcji spółki spadła o 15 procent.

Peloton oferuje linię połączonych w sieć rowerów stacjonarnych i bieżni. Firma oferuje również usługę online, która umożliwia użytkownikom dołączanie do zajęć, pracę z trenerami lub treningi z innymi użytkownikami. W październiku Peloton powiedział inwestorom, że ma społeczność liczącą 3 miliony członków. Członkowie mogą ustawić konta jako publiczne, aby znajomi mogli przeglądać szczegóły, takie jak zajęcia i statystyki treningów, lub użytkownicy mogli wybrać profile jako prywatne.

Wiem, gdzie ćwiczyłeś zeszłego lata

Naukowcy z firmy konsultingowej Pen Test Partners poinformowali w środę, że błąd w serwisie internetowym Peloton polegał na udostępnianiu danych wszystkim użytkownikom na całym świecie, nawet jeśli profil był ustawiony jako prywatny. Potrzebna była tylko odrobina wiedzy na temat wadliwych interfejsów programistycznych, których używa Peloton do przesyłania danych między urządzeniami a serwerami firmy.

Udostępnione dane obejmowały:

  • Identyfikatory użytkowników
  • Identyfikatory instruktorów
  • Członkostwo w grupie
  • Statystyki treningu
  • Płeć i wiek
  • Waga
  • Czy są w studiu, czy nie

Ars zgodził się nie ujawniać kolejnych danych osobowych, ponieważ Peloton wciąż pracuje nad ich zabezpieczeniem.

We wpisie na blogu Partnerzy Pen Test, opublikowanym w środę, stwierdzono, że interfejsy API nie wymagają uwierzytelniania przed przekazaniem informacji. Badacze z firmy powiedzieli, że zgłosili kontakt z peletonem w styczniu i szybko otrzymali potwierdzenie. Wtedy, jak napisał środowy post, Peloton zamilkł.

Powolna reakcja, nieudana poprawka

Naukowcy powiedzieli, że dwa tygodnie później firma po cichu dostarczyła częściową naprawę. Zamiast udostępniać dane użytkownika bez żadnego uwierzytelnienia, interfejsy API udostępniły dane tylko tym, którzy mieli konto. Zmiana była lepsza niż nic, ale nadal pozwalała każdemu, kto subskrybuje usługę online, uzyskać prywatne dane innego abonenta.

Kiedy Partnerzy Pen Testu poinformowali Peloton o nieodpowiedniej poprawce, twierdzą, że nie otrzymali odpowiedzi. Ken Munro, badacz Pen Text Partners, powiedział, że poszedł nawet do kadry kierowniczej firmy na LinkedIn. Naukowcy powiedzieli, że poprawka pojawiła się dopiero po tym, jak reporter TechCrunch, Zack Whittaker, który jako pierwszy zgłosił wyciek, zapytał o to.

„Byłem dość wkurzony w tym momencie, ale doszedłem do wniosku, że warto było zrobić ostatni strzał, zanim zrzuciłem 0-day na użytkowników Peletonu” – powiedział mi Munro. „Poprosiłem Zacka W., żeby zadzwonił do ich biura prasowego. To miało cudowny efekt – w ciągu kilku godzin otrzymałem e-mail od ich nowego dyrektora ds. robaki.”

Przedstawiciel Pelotonu odmówił omówienia harmonogramu zapisów, ale przekazał następującą gotową odpowiedź:

Bezpieczeństwo naszej platformy jest dla Peloton priorytetem i zawsze staramy się ulepszyć nasze podejście i proces współpracy z zewnętrzną społecznością zajmującą się bezpieczeństwem. Dzięki naszemu programowi skoordynowanego ujawniania luk w zabezpieczeniach badacz bezpieczeństwa poinformował nas, że był w stanie uzyskać dostęp do naszego API i zobaczyć informacje, które są dostępne w profilu Peloton. Podjęliśmy działania i rozwiązaliśmy problemy na podstawie jego wstępnych zgłoszeń, ale powoli informowaliśmy badacza o naszych działaniach naprawczych. Idąc dalej, będziemy lepiej współpracować ze społecznością zajmującą się badaniami nad bezpieczeństwem i szybciej reagować, gdy zostaną zgłoszone luki w zabezpieczeniach. Chcielibyśmy podziękować Kenowi Munro za przesłanie swoich raportów za pośrednictwem naszego programu CVD i otwartość na współpracę z nami w celu rozwiązania tych problemów.

Incydent ten jest ostatnim przypomnieniem, że dane przechowywane w Internecie są często dostępne bezpłatnie, nawet jeśli firmy twierdzą, że tak nie jest. To stawia ludzi w tarapatach. Z jednej strony udostępnianie informacji o wadze, statystykach treningów i innych danych może często pomóc użytkownikom w maksymalnym wykorzystaniu sesji treningowych lub treningów grupowych. Z drugiej … no wiesz.

Generalnie staram się fałszować większość danych, które udostępniam. Większość usług, z których korzystam i które wymagają karty kredytowej, będzie akceptować zakupy, nawet jeśli podam fałszywe imię i nazwisko, adres i numer telefonu. Brak tych szczegółów dołączonych do nazw użytkowników lub innych danych może często zminimalizować ryzyko wycieku danych, takiego jak ten.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook