Peloton 2021 está pasando de mal en peor a medida que surgen informes de una posible filtración de datos. La violación parece provenir de una API expuesta que permitió a cualquier persona obtener la información privada de los miembros de Peloton, incluidos aquellos con la configuración de datos más privada.
Para empeorar las cosas, el investigador de seguridad reveló responsablemente el descubrimiento de la API expuesta a Peloton. en enero de 2021 utilizando la fecha límite estándar de 90, pero parece que Peloton solucionó el error dentro del plazo.
Datos de suscriptores supuestamente expuestos a Peloton
Reportado por primera vez por Zack Whittaker para TechCrunch, la API expuesta permitía a cualquier persona extraer datos de la cuenta de usuario privada de los servidores de Peloton, sin importar el estado de la cuenta. Según la descripción de Whittaker:
A mitad de mi entrenamiento del lunes por la tarde la semana pasada, recibí un mensaje de un investigador de seguridad con una captura de pantalla de los datos de mi cuenta de Peloton. Mi perfil de Peloton está configurado como privado y la lista de mis amigos es deliberadamente cero, por lo que nadie puede ver mi perfil, edad, ciudad o historial de entrenamiento.
El informe provino de Jan Masters, investigador de seguridad en Socios de prueba de lápiz. Masters descubrió que podía realizar solicitudes de API no autorizadas a los servidores de Peloton. Las solicitudes devolvieron datos que incluyen:
- ID de usuario
- ID de instructor
- Membresía de grupo
- Localización
- Estadísticas de entrenamiento
- Género y edad
- Si están en el estudio o no
Después de descubrir la posible violación de datos, Masters reveló responsablemente la API con fugas a Peloton. La mayoría de las divulgaciones responsables le dan al proveedor de servicios 90 días para corregir el error, lo que hizo Masters.
Sin embargo, parece que en lugar de parchear la vulnerabilidad por completo, Peloton inicialmente solo restringió el acceso a la API a sus miembros. En ese momento, cualquiera podría crear una nueva cuenta con una membresía mensual y usarla para acceder a la API.
A pesar del nuevo contacto de Pen Test Partners, Peloton no respondió hasta que la compañía de investigación de seguridad se comunicó con Peloton para obtener más explicaciones.
Poco después de establecer contacto con la oficina de prensa de Peloton, tuvimos contacto directo con el CISO de Peloton, que era nuevo en el cargo. Las vulnerabilidades se solucionaron en gran medida en 7 días. Es una pena que nuestra revelación no haya sido respondida de manera oportuna y también es una pena que tuviéramos que involucrar a un periodista para que nos escucharan.
TechCrunch retuvo la noticia de la fuga de API hasta que Peloton resolvió el problema, que lo ha hecho desde entonces.
Relacionados: Pelotón vs. Nordictrack vs. Echelon: el mejor entrenador de bicicletas de interior
Peloton 2021 en una pista llena de baches
Peloton y la Comisión de Seguridad de Productos para el Consumidor de EE. UU. Anuncian el retiro voluntario de los productos Tread + y Tread de Peloton. Para obtener más información y participar en el retiro, visite nuestro #recordar página https://t.co/I0h2yrSEyXpic.twitter.com/9zp2QMyH9x
- Pelotón (@onepeloton) 5 de mayo de 2021
Peloton ha sido un visitante frecuente de los titulares, y no siempre por las razones correctas. La cinta de correr Peloton Tread + está siendo retirada del mercado después de la trágica muerte de un niño pequeño y varios casos de lesiones. Al mismo tiempo, se solicita una mayor investigación de otros productos Peloton para verificar problemas de seguridad.
Relacionados: Peloton está luchando contra un retiro de seguridad de su cinta de correr + treadmill
Si posee una cinta de correr Peloton Tread +, el producto se retiró oficialmente el 5 de mayo de 2021. La Página de retirada de pelotón proporciona más información sobre cómo recibir un reembolso completo y devolver su caminadora.
El incidente hizo que el director ejecutivo de Peloton, John Foley, escribiera un correo electrónico a los clientes.
Leer siguiente
- Seguridad
- Noticias tecnológicas
- Deportes
- Violación de la seguridad
- Aptitud física
Gavin es el editor junior de Windows and Technology Explained, un colaborador habitual del Really Useful Podcast, y fue el editor del sitio hermano de MakeUseOf centrado en cripto, Blocks Decoded. Tiene una licenciatura (con honores) en escritura contemporánea con prácticas de arte digital saqueadas de las colinas de Devon, así como más de una década de experiencia profesional en escritura. Disfruta de grandes cantidades de té, juegos de mesa y fútbol.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Un paso más…!
Confirme su dirección de correo electrónico en el correo electrónico que le acabamos de enviar.