A la mitad de mi lunes entrenamiento de la tarde la semana pasada, recibí un mensaje de un investigador de seguridad con una captura de pantalla de los datos de mi cuenta de Peloton.
Mi perfil de Peloton está configurado como privado y la lista de mis amigos es deliberadamente cero, por lo que nadie puede ver mi perfil, edad, ciudad o historial de entrenamiento. Pero un error permitió a cualquiera extraer los datos de la cuenta privada de los usuarios directamente de los servidores de Peloton, incluso con su perfil configurado como privado.
Peloton, la marca de fitness en el hogar sinónimo de su bicicleta estática para interiores, tiene más de tres millones de suscriptores. Incluso se dice que el presidente Biden posee uno. La bicicleta estática por sí sola cuesta más de $ 1,800, pero cualquiera puede inscribirse en una suscripción mensual para unirse a una amplia variedad de clases.
Cuando Biden fue investido (y su Peloton se mudó a la Casa Blanca, asumiendo que el Servicio Secreto se lo permitiera), Jan Masters, un investigador de seguridad de Pen Test Partners, descubrió que podía hacer solicitudes no autenticadas a la API de Peloton para los datos de la cuenta de usuario sin que se verificara. asegúrese de que la persona pueda solicitarlo. (Una API permite que dos cosas se comuniquen entre sí a través de Internet, como una bicicleta Peloton y los servidores de la empresa que almacenan datos del usuario).
Pero la API expuesta le permite a él, y a cualquier otra persona en Internet, acceder a la edad, el sexo, la ciudad, el peso, las estadísticas de entrenamiento de un usuario de Peloton y, si era el cumpleaños del usuario, los detalles que se ocultan cuando las páginas de perfil de los usuarios se configuran como privadas. .
Masters informó la API con fugas a Peloton el 20 de enero con un plazo de 90 días para corregir el error, el tiempo de ventana estándar que los investigadores de seguridad dan a las empresas para corregir errores antes de que los detalles se hagan públicos.
Pero esa fecha límite vino y se fue, el error no se solucionó y Masters no había recibido respuesta de la empresa, aparte de un correo electrónico inicial acusando recibo del informe del error. En cambio, Peloton solo restringió el acceso a su API a sus miembros. Pero eso solo significaba que cualquiera podía registrarse con una membresía mensual y obtener acceso a la API nuevamente.
TechCrunch se puso en contacto con Peloton después de que expiró el plazo para preguntar por qué se había ignorado el informe de vulnerabilidad, y Peloton confirmó ayer que había solucionado la vulnerabilidad. (TechCrunch mantuvo esta historia hasta que se corrigió el error para evitar un uso indebido).
La portavoz de Peloton, Amelise Lane, proporcionó la siguiente declaración:
Es una prioridad para Peloton mantener segura nuestra plataforma y siempre buscamos mejorar nuestro enfoque y proceso para trabajar con la comunidad de seguridad externa. A través de nuestro programa de divulgación coordinada de vulnerabilidades, un investigador de seguridad nos informó que pudo acceder a nuestra API y ver la información que está disponible en un perfil de Peloton. Tomamos medidas y abordamos los problemas basados en sus presentaciones iniciales, pero tardamos en informar al investigador sobre nuestros esfuerzos de remediación. En el futuro, haremos lo mejor para trabajar en colaboración con la comunidad de investigación de seguridad y responder más rápidamente cuando se reporten vulnerabilidades. Queremos agradecer a Ken Munro por enviar sus informes a través de nuestro programa de CVD y por estar dispuesto a trabajar con nosotros para resolver estos problemas.
Desde entonces, Masters ha publicado una publicación en el blog que explica las vulnerabilidades con más detalle.
Munro, quien fundó Pen Test Partners, dijo a TechCrunch: “Peloton tuvo un pequeño error al responder al informe de vulnerabilidad, pero después de un empujón en la dirección correcta, tomó las medidas adecuadas. Un programa de divulgación de vulnerabilidades no es solo una página en un sitio web; requiere una acción coordinada en toda la organización “.
Pero quedan preguntas para Peloton. Cuando se le preguntó repetidamente, la compañía se negó a decir por qué no había respondido al informe de vulnerabilidad de Masters. Tampoco se sabe si alguien explotó maliciosamente las vulnerabilidades, como la recopilación masiva de datos de cuentas.
Facebook, LinkedIn y Clubhouse han sido víctimas de ataques de raspado que abusan del acceso a las API para obtener datos sobre los usuarios en sus plataformas. Pero Peloton se negó a confirmar si tenía registros para descartar cualquier explotación maliciosa de su API con fugas.
Source link