As desgraças de Peloton continuam com vazamento, expondo dados privados de usuários
O ano de 2021 do Peloton está indo de mal a pior à medida que surgem relatórios de uma possível violação de dados. A violação parece resultar de uma API exposta que permitiu a qualquer pessoa obter informações privadas de membros do Peloton, incluindo aqueles com as configurações de dados mais privadas.
Para piorar as coisas, o pesquisador de segurança revelou de forma responsável a descoberta da API exposta ao Peloton em janeiro de 2021 usando o prazo padrão de 90 – mas parece que o Peloton corrigiu o bug dentro do prazo.
Peloton Supostamente Expostos Dados de Assinantes
Relatado pela primeira vez por Zack Whittaker para o TechCrunch , a API exposta permitia que qualquer pessoa extraísse dados de contas de usuários privados dos servidores Peloton, independentemente do status da conta. De acordo com a descrição de Whittaker:
No meio do meu treino de segunda-feira à tarde na semana passada, recebi uma mensagem de um pesquisador de segurança com uma captura de tela dos dados da minha conta do Peloton. Meu perfil do Peloton está definido como privado e a lista de meus amigos é deliberadamente zero, então ninguém pode ver meu perfil, idade, cidade ou histórico de exercícios.
O relatório veio de Jan Masters, pesquisador de segurança da Pen Test Partners . Masters descobriu que ele poderia fazer solicitações de API não autorizadas para servidores Peloton. As solicitações retornaram dados incluindo:
- IDs de usuário
- IDs de instrutor
- Membros do Grupo
- Localização
- Estatísticas de treino
- Sexo e idade
- Se eles estão no estúdio ou não
Depois de descobrir a potencial violação de dados, a Masters revelou de forma responsável a API com vazamento para o Peloton. As divulgações mais responsáveis dão ao provedor de serviços 90 dias para consertar o bug, o que Masters fez.
No entanto, parece que em vez de corrigir a vulnerabilidade por completo, o Peloton inicialmente apenas restringiu o acesso à API a seus membros. Nesse ponto, qualquer um poderia criar uma nova conta com uma assinatura mensal e usá-la para acessar a API.
Apesar do contato adicional da Pen Test Partners, o Peloton permaneceu sem resposta até que a empresa de pesquisa de segurança entrou em contato com o Peloton para obter mais explicações.
Logo após o contato com a assessoria de imprensa de Peloton, tivemos contato direto do CISO de Peloton, que era novo no cargo. As vulnerabilidades foram corrigidas em grande parte em 7 dias. É uma pena que nossa divulgação não tenha sido respondida em tempo hábil e também uma pena que tivemos que envolver um jornalista para sermos ouvidos.
O TechCrunch segurou a notícia do vazamento da API até que o Peloton resolvesse o problema, o que tem feito desde então.
2021 do Peloton em uma trilha acidentada
A Peloton e a Comissão de Segurança de Produtos do Consumidor dos Estados Unidos estão anunciando um recall voluntário dos produtos Tread + e Tread da Peloton. Para obter mais informações e participar do recall, visite nossa página #recall https://t.co/I0h2yrSEyX pic.twitter.com/9zp2QMyH9x
– Peloton (@onepeloton) 5 de maio de 2021
Peloton tem sido um visitante frequente das manchetes, e nem sempre pelos motivos certos. A esteira Peloton Tread + está sendo relembrada após a trágica morte de uma criança e vários casos de ferimentos. Ao mesmo tempo, há pedidos de investigações adicionais em outros produtos Peloton para verificar se há problemas de segurança.
Se você possui uma esteira Peloton Tread +, o produto foi oficialmente recolhido em 5 de maio de 2021. A página Peloton Recall fornece mais informações sobre como receber um reembolso total e devolver sua esteira.
