Les données de compte privé des utilisateurs de Peloton sont divulguées par un bogue logiciel

Joey Stipek - DailyMail - 05/05
Parmi les données, quiconque sur Internet pourrait accéder à: un âge de Peloton de l'utilisateur, des statistiques de naissance, de la ville, du sexe, du poids et de l'entraînement, qui peuvent toutes être privées par un utilisateur, mais étaient toujours accessibles.

Les données privées des utilisateurs de Peloton, y compris leur âge, ses statistiques d'entraînement et leur poids, ont été exposées par un bogue dans le logiciel.

Jan Masters, chercheur en sécurité chez Pen Test Partners, a constaté qu'il pouvait effectuer des demandes non authentifiées à l'interface de programmation d'application de Peloton (API), pour les données de compte d'utilisateur sans qu'il vérifie si la personne a été autorisée à le demander, selon TechCrunch.

Dans son blog, "Tour de Peloton: données d'utilisateur exposés", Masters Détaille comment un utilisateur non autorisé pourrait afficher des informations sensibles pour tous les utilisateurs en exploitant des vulnérabilités dans le système de gestion des données. L'utilisateur non autorisé pourrait également espionner des statistiques de classe en direct et ses participants - qui peuvent top 800 personnes à la fois.

Parmi les données, quiconque sur Internet pourrait accéder à: un âge de Peloton de l'utilisateur, des statistiques de naissance, de la ville, du sexe, du poids et de l'entraînement, qui peuvent toutes être privées par un utilisateur, mais étaient toujours accessibles.

Les comptes de peloton étaient à risque récemment pour avoir leurs données exposées par des utilisateurs non autorisés. Parmi les données, quiconque sur Internet pourrait accéder: Age de l'utilisateur de Peloton, Date de naissance, Ville, Sexe, Poids, Statistiques de séances d'entraînement, Selon Jan Masters, chercheur de sécurité chez Pen Test Partners

Dans son blog, "Tour de Peloton: données d'utilisateur exposés", Masters Détaille comment un utilisateur non autorisé pourrait afficher des informations sensibles pour tous les utilisateurs en exploitant des vulnérabilités dans le système de gestion des données

Masters a signalé les problèmes d'API à Peloton le 20 janvier 2021 avec une date limite de 90 jours pour corriger le bogue, tout comme les chercheurs de demandes standard donnent avant de laisser le public connaître les vulnérabilités avec des données de compte d'utilisateur.

Peloton a ignoré la date limite de 90 jours établie par Masters, à part un premier rapport reconnaissant la question.

Peloton a été contacté par TechCrunch pour interroger pourquoi le rapport de vulnérabilité avait été ignoré.

Peloton a confirmé mardi qu'il avait corrigé les vulnérabilités du compte d'utilisateur. Un porte-parole de la société a publié une déclaration à TechCrunch, lisant: «C'est une priorité pour Peloton de garder notre plate-forme sécurisée et que nous cherchons toujours à améliorer notre approche et notre processus de travail avec la communauté de la sécurité externe.

ARTICLES LIÉS

Partagez cet article

Partager

«Grâce à notre programme de divulgation de la vulnérabilité coordonnée, un chercheur en sécurité nous a informés qu'il a été capable d'accéder à notre API et de voir des informations disponibles sur un profil Peloton. Nous avons pris des mesures et nous avons abordé les problèmes sur la base de ses soumissions initiales, mais nou...
[Courte citation de 8% de l'article original]

Loading...