Фитнес должен быть трудным — это то, как вы знаете, что он работает (по крайней мере, нам так говорят). Но это не должно быть сложно. Исследователь безопасности обнаружил, что учетные записи пользователей фитнес-велосипедов и беговых дорожек Peloton подвергались утечке данных, и компания изначально не предприняла никаких действий.
Возможность Peloton к утечке данных
Поскольку на протяжении большей части пандемии многие тренажерные залы были закрыты, люди были вынуждены заниматься домашним фитнесом. Некоторые взяли сэкономленные деньги и потратили их на велотренажер или беговую дорожку Peloton. Но информация, которая была опубликована в аккаунтах Peloton, осталась незащищенной и подверглась утечке данных.
Фитнес-оборудование Peloton изначально попало под пристальное внимание, когда президент США Джо Байден готовился переехать в Белый дом. У него есть велотренажер Peloton, оснащенный камерой и микрофоном, как и большинство велотренажеров, подключенных к Интернету. Ходили разговоры о том, чтобы не позволить ему принести его в Белый дом или лишить велосипед возможности подключения к Интернету.
Неясно, разрешили ли президенту Байдену взять с собой велосипед Peloton. Однако исследователь безопасности Ян Мастерс из Pen Test Partners был вынужден изучить безопасность оборудования Peloton. Он узнал, что может получить несанкционированный доступ к API Peloton для получения данных учетной записи. Система разрешала доступ любому.
Данные пользователей Peloton, такие как возраст, пол, город, вес и статистика тренировок, были открыты для утечки данных, независимо от того, были ли учетные записи конфиденциальными.
Мастерс сообщил Peloton о обнаружении потенциальных утечек данных. Как и большинство исследователей безопасности, он дал компании 90 дней на устранение проблемы, прежде чем он обнародует свое открытие. За этот 90-дневный период Peloton не устранил возможность утечки данных. Единственное, что было предпринято, — это закрыть доступ участникам. Но любой может зарегистрировать учетную запись и получить доступ.
В конечном итоге компания Peloton объявила в своем заявлении, что устранила проблему безопасности и признала свои прионные действия.
«Для Peloton приоритетом является обеспечение безопасности нашей платформы, и мы всегда стремимся улучшить наш подход и процесс работы с внешним сообществом безопасности. В рамках нашей программы скоординированного раскрытия уязвимостей исследователь безопасности сообщил нам, что он смог получить доступ к нашему API и просмотреть информацию, доступную в профиле Peloton. Мы приняли меры и решили проблемы на основе его первоначальных материалов, но не спешили информировать исследователя о наших усилиях по исправлению ситуации. В дальнейшем мы будем лучше сотрудничать с исследовательским сообществом в области безопасности и более оперативно реагировать на сообщения об уязвимостях. Мы хотим поблагодарить [основателя Pen Test Partners] Кена Манро за отправку своих отчетов через нашу программу CVD и за готовность сотрудничать с нами для решения этих проблем».
После последствий
После заявления Peloton Мунро сказал: «Peloton немного не среагировала на отчет об уязвимости, но после того, как ее подтолкнули в правильном направлении, предприняли соответствующие действия. Программа раскрытия уязвимостей — это не просто страница на веб-сайте; это требует скоординированных действий всей организации».
Хотя Peloton в конечном итоге поступил правильно, вызывает беспокойство тот факт, что исправление уязвимости заняло так много времени и что это не было сделано заранее. У многих, многих компаний есть уязвимости – Peloton не одинок в этом. Но когда проблема выявляется, необходимо нести ответственность.
Если вы являетесь пользователем Peloton, ваши данные теперь в безопасности. Но знайте, что компания небрежно относилась к данным о клиентах, даже когда в их число были включены общественные деятели и представители национальной безопасности.
Читайте дальше, чтобы узнать об утечке данных Facebook, затронувшей более 500 миллионов пользователей.
Изображение предоставлено: Пресс-кит Peloton Media
