L'année 2021 de Peloton va de mal en pis alors que des rapports faisant état d'une violation potentielle de données émergent. La violation semble provenir d'une API exposée qui permettait à quiconque de récupérer les informations privées des membres de Peloton, y compris ceux avec les paramètres de données les plus privés.

Pour aggraver les choses, le chercheur en sécurité a divulgué de manière responsable la découverte de l'API exposée à Peloton en janvier 2021 en utilisant le délai standard de 90 - mais il semble que Peloton ait corrigé le bogue dans le délai imparti.

Peloton aurait prétendument exposé les données des abonnés

Rapporté pour la première fois par Zack Whittaker pour TechCrunch, l'API exposée permettait à quiconque d'extraire des données de compte d'utilisateur privé des serveurs Peloton, quel que soit l'état du compte. Selon la description de Whittaker:

À mi-chemin de mon entraînement du lundi après-midi la semaine dernière, j'ai reçu un message d'un chercheur en sécurité avec une capture d'écran des données de mon compte Peloton. Mon profil Peloton est défini sur privé et la liste de mes amis est délibérément nulle, donc personne ne peut voir mon profil, mon âge, ma ville ou mon historique d'entraînement.

Le rapport est venu de Jan Masters, un chercheur en sécurité à Partenaires de test de stylet. Masters a découvert qu'il pouvait envoyer des requêtes API non autorisées aux serveurs Peloton. Les demandes ont renvoyé des données, notamment:

  • ID utilisateur
  • ID de l'instructeur
  • Appartenance à un groupe
  • Emplacement
  • Statistiques d'entraînement
  • Sexe et âge
  • S'ils sont en studio ou non

Après avoir découvert la violation potentielle des données, Masters a divulgué de manière responsable l'API qui fuyait à Peloton. La plupart des divulgations responsables donnent au fournisseur de services 90 jours pour corriger le bogue, ce que Masters a fait.

Cependant, il semble que, plutôt que de corriger entièrement la vulnérabilité, Peloton se contentait initialement de restreindre l'accès à l'API à ses membres. À ce stade, n'importe qui peut créer un nouveau compte avec un abonnement mensuel et l'utiliser pour accéder à l'API.

Malgré d'autres contacts de Pen Test Partners, Peloton est resté insensible jusqu'à ce que la société de recherche en sécurité ait contacté Peloton pour plus d'explications.

Peu de temps après la prise de contact avec le bureau de presse de Peloton, nous avons eu un contact direct avec le RSSI de Peloton, qui était nouveau en poste. Les vulnérabilités ont été en grande partie corrigées en 7 jours. C'est dommage que notre divulgation n'ait pas été traitée en temps opportun et aussi dommage que nous ayons dû impliquer un journaliste pour être écouté.

TechCrunch a tenu la nouvelle de la fuite d'API jusqu'à ce que Peloton résolve le problème, qu'il a depuis.

En rapport: Peloton Vs. Nordictrack contre. Echelon: le meilleur entraîneur de vélo d'intérieur

Peloton's 2021 sur une piste cahoteuse

Peloton et la US Consumer Product Safety Commission annoncent un rappel volontaire des produits Peloton's Tread + et Tread. Pour plus d'informations et pour participer au rappel, visitez notre #rappeler page https://t.co/I0h2yrSEyXpic.twitter.com/9zp2QMyH9x

- Peloton (@onepeloton) 5 mai 2021

Peloton a été un visiteur fréquent des manchettes, et pas toujours pour les bonnes raisons. Le tapis roulant Peloton Tread + est rappelé après la mort tragique d'un jeune enfant et de multiples blessures. Dans le même temps, il y a des appels pour une enquête plus approfondie sur d'autres produits Peloton pour vérifier les problèmes de sécurité.

En rapport: Peloton lutte contre un rappel de sécurité de sa bande de roulement + tapis roulant

Si vous possédez un tapis roulant Peloton Tread +, le produit a été officiellement rappelé le 5 mai 2021. le Page de rappel Peloton fournit plus d'informations sur la réception d'un remboursement complet et le retour de votre tapis roulant.

E-mail
Après la mort d'un enfant, Peloton publie un nouvel avis de sécurité

L'incident a poussé le PDG de Peloton, John Foley, à écrire un e-mail aux clients.

Lire la suite

Rubriques connexes
  • Sécurité
  • Actualités techniques
  • Des sports
  • Violation de la sécurité
  • Aptitude
A propos de l'auteur
Gavin Phillips (843 Articles publiés)

Gavin est l'éditeur junior pour Windows and Technology Explained, un contributeur régulier du podcast Really Useful, et était l'éditeur du site soeur de MakeUseOf axé sur la cryptographie, Blocks Decoded. Il possède un BA (Hons) en écriture contemporaine avec des pratiques d'art numérique pillées dans les collines du Devon, ainsi que plus d'une décennie d'expérience en rédaction professionnelle. Il aime beaucoup de thé, de jeux de société et de football.

Plus de Gavin Phillips

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives!

Un pas de plus…!

Veuillez confirmer votre adresse e-mail dans l'e-mail que nous venons de vous envoyer.

.