暴露,

数据泄露让Peloton的糟糕透顶的一天变得更加糟糕

API故障让任何人抓住用户的私人数据,包括体重和性别。

数据泄露让Peloton的糟糕透顶的一天变得更加糟糕
Peloton

Peloton今天很不顺。首先,该公司召回了两个跑步机模型一名6岁儿童被其中一个设备拉下死亡。现在有消息称,Peloton曝光了敏感用户数据,即使该公司知道了泄密事件。难怪该公司的股价收盘了下降15%周三。

Peloton提供了一系列联网的固定自行车和跑步机。该公司还提供在线服务,允许用户参加课程,与教练一起工作,或与其他用户一起锻炼。去年10月,Peloton告诉投资者,它有一个共有300万会员。会员可以将账户设置为公开的,这样朋友们就可以查看参加过的课程和锻炼的统计数据等详细信息,用户也可以选择将个人资料设置为私密的。

我知道去年夏天你在哪里工作

安全咨询公司Pen Test Partners的研究人员周三报告称,Peloton的在线服务存在漏洞,导致其所有用户的数据向世界任何地方的任何人开放,即使用户的个人资料被设置为隐私。所有这些都需要对Peloton用来在设备和公司服务器之间传输数据的错误编程接口有一点了解。

公开的数据包括:

  • 用户id
  • 教练id
  • 集团成员资格
  • 锻炼统计数据
  • 性别和年龄
  • 重量
  • 如果他们在工作室里或没有

ARS同意扣留另一个暴露的个人数据,因为Peloton仍在努力保护它。

一种博客笔测试合作伙伴在星期三发布说,API需要在提供信息之前无需身份验证。公司研究人员表示,他们报告了1月份接触Peloton,并及时接受了确认。然后,星期三的帖子说,Peloton沉默了。

反应缓慢,修复失败

研究人员说,两周后,该公司默默地提供了部分修复。api并没有提供完全不需要身份验证的用户数据,而是让数据只对拥有帐户的用户可用。这一改变总比什么都没有好,但它仍然可以让任何订阅在线服务的人获得其他订阅者的私人信息。

当Pen Test Partners公司通知Peloton公司修复不足时,他们表示没有得到任何回应。Pen Test Partners的研究人员肯•门罗(Ken Munro)表示,他甚至在领英(LinkedIn)上查找公司高管。研究人员表示,这个解决方案是在TechCrunch记者扎克·惠特克首先报告泄漏他问。

“我对这一点感到很生气,但是在揭ro揭露了0天之前,这是值得一开始的,”Munro告诉我。“我问Zack W击中他们的新闻处。这有一个神奇的效果 - 几小时内我收到了新的CISO的电子邮件,他们在帖子中新的CISO并调查,发现了他们相当弱的回应,并计划修理虫子。“

Peloton的一位代表拒绝讨论正式公布的时间表,但提供了以下预先准备好的回复:

这是Peloton保持平台安全的优先事项,我们一直希望提高我们与外部安全社区合作的方法和过程。通过我们协调的漏洞泄露计划,安全研究员通知我们,他能够访问我们的API,并查看Peloton配置文件中提供的信息。我们采取了行动并根据他的初步提交解决问题,但我们很慢更新研究人员了解我们的修复努力。展望未来,我们将与安全研究界进行合作工作,并在报告漏洞时更迅速地响应。我们要感谢Ken Munro通过我们的CVD计划提交报告,并开放与我们合作解决这些问题。

这一事件再次提醒人们,存储在网上的数据往往是免费的,即使公司说这不是免费的。这让人们陷入了困境。一方面,分享体重、锻炼数据和其他数据通常可以帮助用户从训练课程或集体锻炼中获得最大益处。另一方面……嗯,你知道的。

我通常试图伪造,或留下不完整的数据,我提供。我使用的大多数需要信用卡的服务,即使我提供虚假的姓名、地址和电话号码,也能很好地批准购买。如果不将这些细节附加到用户名或其他数据上,通常可以减少像这样的数据泄漏带来的伤害。

更新:最后一段我没讲清楚,我再试一次。网站通常有两个地方询问你的信息。其中一组与用户帐户详细信息一起存储。另一个由账单处理器使用。例如,我的亚马逊账户上,我的名字是Dang。但当我提供信用卡信息时,我显然没有提供假名。

HBO Max也是如此。帐户信息有一个标签,并且有一个用于账单信息的标签。我没有理由在帐户选项卡中输入我的真实或全名。出于显而易见的原因,我不伪造计费标签中的信息。也就是说,在提供计费信息时,我经常会逃脱提供不完整的信息。例如,许多网站的计费部分允许我只提供我的街道名称,而不是我的房屋号,也是我的名字和姓氏的姓名。

我的理由所有以下此处:网站通常存储在单独的桶中的帐户数据和计费数据,并且保持计费数据的桶似乎更好地固定。互联网公司拥有可怕的可信记录用户数据。他们对我越少。我希望这些额外的细节更好地解释我如何以及为什么这样做。

你必须置评。

通道ARS Technica