Los problemas de Peloton continúan con las fugas que exponen los datos privados de los usuarios
Peloton 2021 está pasando de mal en peor a medida que surgen informes de una posible filtración de datos. La violación parece provenir de una API expuesta que permitió a cualquier persona obtener la información privada de los miembros de Peloton, incluidos aquellos con la configuración de datos más privada.
Para empeorar las cosas, el investigador de seguridad reveló responsablemente el descubrimiento de la API expuesta a Peloton en enero de 2021 utilizando la fecha límite estándar de 90, pero parece que Peloton solucionó el error dentro del plazo.
Datos de suscriptores supuestamente expuestos a Peloton
Informada por primera vez por Zack Whittaker para TechCrunch , la API expuesta permitía a cualquier persona extraer datos de cuentas de usuario privadas de los servidores de Peloton, sin importar el estado de la cuenta. Según la descripción de Whittaker:
A mitad de mi entrenamiento del lunes por la tarde la semana pasada, recibí un mensaje de un investigador de seguridad con una captura de pantalla de los datos de mi cuenta de Peloton. Mi perfil de Peloton está configurado como privado y la lista de mis amigos es deliberadamente cero, por lo que nadie puede ver mi perfil, edad, ciudad o historial de entrenamiento.
El informe provino de Jan Masters, investigador de seguridad de Pen Test Partners . Masters descubrió que podía realizar solicitudes de API no autorizadas a los servidores de Peloton. Las solicitudes devolvieron datos que incluyen:
- ID de usuario
- ID de instructor
- Membresía de grupo
- Localización
- Estadísticas de entrenamiento
- Género y edad
- Si están en el estudio o no
Después de descubrir la posible violación de datos, Masters reveló responsablemente la API con fugas a Peloton. La mayoría de las divulgaciones responsables le dan al proveedor de servicios 90 días para corregir el error, lo que hizo Masters.
Sin embargo, parece que en lugar de parchear la vulnerabilidad por completo, Peloton inicialmente solo restringió el acceso a la API a sus miembros. En ese momento, cualquiera podría crear una nueva cuenta con una membresía mensual y usarla para acceder a la API.
A pesar del nuevo contacto de Pen Test Partners, Peloton no respondió hasta que la compañía de investigación de seguridad se comunicó con Peloton para obtener más explicaciones.
Poco después de establecer contacto con la oficina de prensa de Peloton, tuvimos contacto directo del CISO de Peloton, que era nuevo en el cargo. Las vulnerabilidades se solucionaron en gran medida en 7 días. Es una pena que nuestra divulgación no haya sido respondida de manera oportuna y también es una pena que tuviéramos que involucrar a un periodista para que nos escucharan.
TechCrunch retuvo la noticia de la fuga de API hasta que Peloton resolvió el problema, que lo ha hecho desde entonces.
Peloton 2021 en una pista llena de baches
Peloton y la Comisión de Seguridad de Productos para el Consumidor de EE. UU. Anuncian el retiro voluntario de los productos Tread + y Tread de Peloton. Para obtener más información y para participar en el retiro, visite nuestro #recall página https://t.co/I0h2yrSEyX pic.twitter.com/9zp2QMyH9x
– Peloton (@onepeloton) 5 de mayo de 2021
Peloton ha sido un visitante frecuente de los titulares, y no siempre por las razones correctas. La cinta de correr Peloton Tread + está siendo retirada del mercado después de la trágica muerte de un niño pequeño y varios casos de lesiones. Al mismo tiempo, se solicita una mayor investigación de otros productos Peloton para verificar problemas de seguridad.
Si posee una caminadora Peloton Tread +, el producto fue retirado oficialmente del mercado el 5 de mayo de 2021. La página de retiro del mercado de Peloton brinda más información sobre cómo recibir un reembolso completo y devolver su caminadora.