Un bug nell’API di Peloton potrebbe aver esposto molti dati utente
Una vecchia versione dell’API di Peloton, il software che consente alle biciclette dell’azienda e ai tapis roulant richiamati di comunicare con i suoi server, potrebbe aver esposto i profili dei clienti privati, secondo un rapporto da TechCrunch. Il bug è stato individuato per la prima volta da Jan Masters, un ricercatore di sicurezza presso Pen Test Partners, e segnalato a Peloton il 20 gennaio, ma la società sta confermando solo ora che il bug è stato risolto.
Utilizzando l’API di Peloton, Masters è stato in grado di raccogliere tutti i tipi di informazioni sui clienti che normalmente sarebbero private, a seconda delle impostazioni del singolo utente. Ciò include i profili dei clienti, che possono potenzialmente mostrare la loro età, posizione, data di nascita e cronologia degli allenamenti. Tutto ciò che Masters doveva fare era fare una richiesta non autenticata all’API di Peloton e i dati del cliente erano suoi. Masters ha una spiegazione più approfondita di come ha funzionato l’exploit sul blog dei Pen Test Partners e ha anche riassunto le sue scoperte nel video qui sotto:
Dopo aver segnalato il bug a Peloton, Masters ha fissato una scadenza di 90 giorni per risolvere il problema. Quella scadenza andava e veniva senza che Peloton dicesse se l’API era stata corretta, il che spinse Masters a rivolgersi a TechCrunch. Peloton alla fine ha risposto e ha condiviso la seguente dichiarazione con la pubblicazione:
È una priorità per Peloton mantenere la nostra piattaforma sicura e cerchiamo sempre di migliorare il nostro approccio e il nostro processo per lavorare con la comunità di sicurezza esterna. Attraverso il nostro programma Coordinated Vulnerability Disclosure, un ricercatore di sicurezza ci ha informato che era in grado di accedere alla nostra API e vedere le informazioni disponibili su un profilo Peloton. Abbiamo agito e affrontato i problemi in base alle sue osservazioni iniziali, ma siamo stati lenti ad aggiornare il ricercatore sui nostri sforzi di riparazione. Andando avanti, faremo meglio a lavorare in collaborazione con la comunità di ricerca sulla sicurezza e rispondere più prontamente quando vengono segnalate vulnerabilità. Vogliamo ringraziare Ken Munro per aver inviato i suoi rapporti tramite il nostro programma CVD e per essere aperto a lavorare con noi per risolvere questi problemi.
Gli schermi sulle biciclette e sui tapis roulant di Peloton sono ciò che rende i metodi di allenamento dell’azienda così avvincenti. È il modo in cui gli iscritti frequentano le lezioni, tengono traccia dei loro allenamenti e persino eseguono altri esercizi diversi dalla bicicletta o dal tapis roulant. È una funzionalità a cui Peloton addebita $ 39 al mese per un abbonamento con accesso illimitato. Tuttavia, come tutti i dispositivi connessi, in particolare quelli per il fitness, può lasciare le informazioni sui clienti privati più vulnerabili di quanto farebbe una cyclette non connessa.
Masters scrive che Peloton si è scusato e ha affermato di aver risolto la maggior parte dei problemi API entro una settimana dal suo rapporto. Ciò che non è immediatamente chiaro è se qualcun altro oltre a Master ha ottenuto l’accesso ai dati dei clienti mentre l’API era in uno stato di falla.
quando The Verge seguito per verificare, Peloton ha detto che non aveva nulla di nuovo da condividere che non avesse già fornito TechCrunch e partner di Pen Test. La società ha anche ribadito di aver risposto immediatamente al problema dell’API.
