تستمر مشاكل بيلوتون في الكشف عن تسرب بيانات المستخدم الخاص


أصبح الوصول غير المصرح به إلى البيانات هو أحدث مشكلة لشركة Peloton.

peloton حلقة مفرغة ميزة خرق الأمن

ينتقل بيلوتون 2021 من سيئ إلى أسوأ مع ظهور تقارير عن خرق محتمل للبيانات. يبدو أن الخرق نابع من واجهة برمجة تطبيقات مكشوفة سمحت لأي شخص بسحب المعلومات الخاصة لأعضاء Peloton ، بما في ذلك أولئك الذين لديهم إعدادات بيانات خاصة.

ومما زاد الطين بلة ، كشف الباحث الأمني ​​بمسؤولية عن اكتشاف واجهة برمجة التطبيقات المكشوفة لـ Peloton في يناير 2021 باستخدام مهلة 90 القياسية – ولكن يبدو أن بيلوتون قد أصلحت الخطأ في الإطار الزمني.

كشف بيلوتون حسب زعمه عن بيانات المشترك

تم الإبلاغ عنها لأول مرة بواسطة Zack Whittaker لـ تك كرانش، سمحت واجهة برمجة التطبيقات المكشوفة لأي شخص بسحب بيانات حساب المستخدم الخاص من خوادم Peloton ، بغض النظر عن حالة الحساب. حسب وصف ويتاكر:

في منتصف التمرين بعد ظهر يوم الاثنين الأسبوع الماضي ، تلقيت رسالة من باحث أمني بها لقطة شاشة لبيانات حسابي على Peloton. تم تعيين ملف التعريف الخاص بي في Peloton على “خاص” ، وقائمة أصدقائي صفر عمدًا ، لذلك لا يمكن لأي شخص عرض ملف التعريف الخاص بي أو عمري أو مدينتي أو سجل التمرين.

جاء التقرير من جان ماسترز ، باحث أمني في شركاء اختبار القلم. وجد Masters أنه يمكنه تقديم طلبات API غير مصرح بها إلى خوادم Peloton. أعادت الطلبات بيانات منها:

  • معرفات المستخدم

  • معرفات المعلم

  • عضوية في المجموعة

  • موقع

  • احصائيات تجريب

  • الجنس والعمر

  • إذا كانوا في الاستوديو أم لا

بعد الكشف عن خرق البيانات المحتمل ، كشف ماسترز بمسؤولية عن واجهة برمجة التطبيقات المتسربة لـ Peloton. تمنح معظم عمليات الكشف المسؤولة مقدم الخدمة 90 يومًا لإصلاح الخطأ ، وهو ما فعله ماسترز.

ومع ذلك ، يبدو أنه بدلاً من تصحيح الثغرة الأمنية بالكامل ، قامت شركة بيلوتون في البداية بتقييد وصول واجهة برمجة التطبيقات إلى أعضائها. في هذه المرحلة ، يمكن لأي شخص إنشاء حساب جديد بعضوية شهرية واستخدامه للوصول إلى واجهة برمجة التطبيقات.

على الرغم من الاتصال الإضافي من Pen Test Partners ، ظلت بيلوتون غير مستجيبة حتى تواصلت شركة الأبحاث الأمنية مع بيلوتون للحصول على مزيد من التوضيح.

بعد وقت قصير من الاتصال بالمكتب الصحفي في بيلوتون ، كان لدينا اتصال مباشر من مدير الأمن العام في بيلوتون ، الذي كان جديدًا في المنصب. تم إصلاح نقاط الضعف إلى حد كبير في غضون 7 أيام. إنه لأمر مخز أن لم يتم الرد على إفصاحنا في الوقت المناسب وأيضًا من العار أنه كان علينا إشراك صحفي من أجل الاستماع إليه.

احتفظت TechCrunch بأخبار تسرب واجهة برمجة التطبيقات (API) حتى حلت بيلوتون المشكلة ، وهو ما حدث منذ ذلك الحين.

متعلق ب: بيلوتون مقابل. نورديك تراك مقابل. Echelon: أفضل مدرب دراجات داخلي

بيلوتون 2021 على مسار وعر

كان بيلوتون زائرًا متكررًا لعناوين الأخبار ، وليس دائمًا للأسباب الصحيحة. تم سحب جهاز الجري بيلوتون + تريدميل بعد الموت المأساوي لطفل صغير وإصابات متعددة. في الوقت نفسه ، هناك دعوات لمزيد من التحقيق في منتجات Peloton الأخرى للتحقق من وجود مشكلات أمنية.

متعلق ب: تحارب Peloton عملية استدعاء آمنة لمداسها + جهاز المشي

إذا كنت تمتلك Peloton Tread + treadmill ، فقد تم استدعاء المنتج رسميًا في 5 مايو 2021. صفحة استدعاء Peloton يوفر مزيدًا من المعلومات حول استرداد المبلغ المدفوع بالكامل وإعادة جهاز المشي الخاص بك.

جهاز السير المتحرك
بعد وفاة طفل ، تُصدر بيلوتون إشعار أمان جديدًا

تسبب الحادث في قيام الرئيس التنفيذي لشركة بيلوتون جون فولي بإرسال بريد إلكتروني إلى العملاء.

اقرأ التالي


عن المؤلف

تم النشر في
مصنف كـ Uncategorized

اترك تعليقًا

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *