Los problemas de Peloton continúan con las fugas que exponen los datos privados de los usuarios

Peloton 2021 está pasando de mal en peor a medida que surgen informes de una posible filtración de datos. La violación parece provenir de una API expuesta que permitió a cualquier persona obtener la información privada de los miembros de Peloton, incluidos aquellos con la configuración de datos más privada.

Para empeorar las cosas, el investigador de seguridad reveló responsablemente el descubrimiento de la API expuesta a Peloton. en enero de 2021 utilizando la fecha límite estándar de 90, pero parece que Peloton solucionó el error dentro del plazo.

Datos de suscriptores supuestamente expuestos a Peloton

Reportado por primera vez por Zack Whittaker para TechCrunch, la API expuesta permitía a cualquier persona extraer datos de la cuenta de usuario privada de los servidores de Peloton, sin importar el estado de la cuenta. Según la descripción de Whittaker:

A mitad de mi entrenamiento del lunes por la tarde la semana pasada, recibí un mensaje de un investigador de seguridad con una captura de pantalla de los datos de mi cuenta de Peloton. Mi perfil de Peloton está configurado como privado y la lista de mis amigos es deliberadamente cero, por lo que nadie puede ver mi perfil, edad, ciudad o historial de entrenamiento.

instagram viewer

El informe provino de Jan Masters, investigador de seguridad en Socios de prueba de lápiz. Masters descubrió que podía realizar solicitudes de API no autorizadas a los servidores de Peloton. Las solicitudes devolvieron datos que incluyen:

• ID de usuario
• ID de instructor
• Membresía de grupo
• Localización
• Estadísticas de entrenamiento
• Género y edad
• Si están en el estudio o no

Después de descubrir la posible violación de datos, Masters reveló responsablemente la API con fugas a Peloton. La mayoría de las divulgaciones responsables le dan al proveedor de servicios 90 días para corregir el error, lo que hizo Masters.

Sin embargo, parece que en lugar de parchear la vulnerabilidad por completo, Peloton inicialmente solo restringió el acceso a la API a sus miembros. En ese momento, cualquiera podría crear una nueva cuenta con una membresía mensual y usarla para acceder a la API.

A pesar del nuevo contacto de Pen Test Partners, Peloton no respondió hasta que la compañía de investigación de seguridad se comunicó con Peloton para obtener más explicaciones.

Poco después de establecer contacto con la oficina de prensa de Peloton, tuvimos contacto directo con el CISO de Peloton, que era nuevo en el cargo. Las vulnerabilidades se solucionaron en gran medida en 7 días. Es una pena que nuestra revelación no haya sido respondida de manera oportuna y también es una pena que tuviéramos que involucrar a un periodista para que nos escucharan.

TechCrunch retuvo la noticia de la fuga de API hasta que Peloton resolvió el problema, que lo ha hecho desde entonces.

Relacionados: Pelotón vs. Nordictrack vs. Echelon: el mejor entrenador de bicicletas de interior

Peloton 2021 en una pista llena de baches

Peloton ha sido un visitante frecuente de los titulares, y no siempre por las razones correctas. La cinta de correr Peloton Tread + está siendo retirada del mercado después de la trágica muerte de un niño pequeño y varios casos de lesiones. Al mismo tiempo, se solicita una mayor investigación de otros productos Peloton para verificar problemas de seguridad.

Relacionados: Peloton está luchando contra un retiro de seguridad de su cinta de correr + treadmill

Si posee una cinta de correr Peloton Tread +, el producto se retiró oficialmente el 5 de mayo de 2021. La Página de retirada de pelotón proporciona más información sobre cómo recibir un reembolso completo y devolver su caminadora.

Después de la muerte de un niño, Peloton emite un nuevo aviso de seguridad

El incidente hizo que el director ejecutivo de Peloton, John Foley, escribiera un correo electrónico a los clientes.

Leer siguiente

Sobre el Autor