Penderitaan Peloton Berlanjut Dengan Kebocoran Mengekspos Data Pengguna Pribadi

Peloton tahun 2021 bergerak dari buruk menjadi lebih buruk karena laporan tentang potensi pelanggaran data muncul. Pelanggaran tampaknya berasal dari API yang terbuka yang memungkinkan siapa pun untuk menarik informasi pribadi anggota Peloton, termasuk mereka yang memiliki pengaturan data paling pribadi.

Lebih buruk lagi, peneliti keamanan secara bertanggung jawab mengungkapkan penemuan API yang terekspos ke Peloton pada bulan Januari 2021 menggunakan tenggat waktu standar 90 — tetapi tampaknya Peloton memperbaiki bug tersebut dalam jangka waktu tersebut.

Peloton Diduga Terkena Data Pelanggan

Pertama kali dilaporkan oleh Zack Whittaker untuk TechCrunch, API yang terekspos memungkinkan siapa saja untuk mengambil data akun pengguna pribadi dari server Peloton, apa pun status akunnya. Sesuai deskripsi Whittaker:

Di tengah latihan Senin sore saya minggu lalu, saya mendapat pesan dari peneliti keamanan dengan tangkapan layar dari data akun Peloton saya. Profil Peloton saya disetel ke pribadi, dan daftar teman saya sengaja dikosongkan, jadi tidak ada yang bisa melihat profil, usia, kota, atau riwayat latihan saya.

instagram viewer

Laporan tersebut datang dari Jan Masters, seorang peneliti keamanan di Mitra Tes Pena. Masters menemukan bahwa dia dapat membuat permintaan API yang tidak sah ke server Peloton. Permintaan mengembalikan data termasuk:

• ID Pengguna
• ID Instruktur
• Keanggotaan Grup
• Lokasi
• Statistik latihan
• Jenis kelamin dan usia
• Apakah mereka ada di studio atau tidak

Setelah mengungkap potensi pelanggaran data, Masters bertanggung jawab mengungkapkan API yang bocor kepada Peloton. Sebagian besar pengungkapan yang bertanggung jawab memberi penyedia layanan waktu 90 hari untuk memperbaiki bug, yang dilakukan oleh Masters.

Namun, tampaknya daripada menambal keseluruhan kerentanan, Peloton awalnya hanya membatasi akses API ke anggotanya. Pada saat itu, siapa pun dapat membuat akun baru dengan keanggotaan bulanan dan menggunakannya untuk mengakses API.

Meskipun ada kontak lebih lanjut dari Pen Test Partners, Peloton tetap tidak responsif sampai perusahaan riset keamanan menghubungi Peloton untuk penjelasan lebih lanjut.

Tak lama setelah kontak dibuat dengan kantor pers di Peloton kami mendapat kontak langsung dari CISO Peloton, yang baru di pos. Kerentanan sebagian besar diperbaiki dalam 7 hari. Sayang pengungkapan kami tidak ditanggapi tepat waktu dan juga memalukan karena kami harus melibatkan jurnalis agar bisa didengarkan.

TechCrunch menahan berita kebocoran API hingga Peloton menyelesaikan masalah yang terjadi sejak saat itu.

Terkait: Peloton Vs. Nordictrack Vs. Eselon: Pelatih Sepeda Dalam Ruangan Terbaik

Peloton's 2021 On a Bumpy Track

Peloton telah sering menjadi pengunjung berita utama, dan tidak selalu karena alasan yang benar. Treadmill Peloton + ditarik kembali setelah kematian tragis seorang anak kecil dan beberapa kasus cedera. Pada saat yang sama, ada seruan untuk penyelidikan lebih lanjut terhadap produk Peloton lainnya untuk memeriksa masalah keamanan.

Terkait: Peloton Sedang Memerangi Mengingat Keamanan Tapak + Treadmillnya

Jika Anda memiliki Peloton Tread + treadmill, produk tersebut secara resmi ditarik kembali pada tanggal 5 Mei 2021. Itu Halaman Peloton Recall memberikan informasi lebih lanjut tentang menerima pengembalian dana penuh dan mengembalikan treadmill Anda.

Setelah Kematian Seorang Anak, Peloton Mengeluarkan Pemberitahuan Keamanan Baru

Insiden tersebut menyebabkan CEO Peloton John Foley menulis email kepada pelanggan.

Baca Selanjutnya

Tentang Penulis