La API Leaky de Peloton filtró los datos privados de los ciclistas - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La API Leaky de Peloton filtró los datos privados de los ciclistas

Hola otra vez. Yo soy Eduardo Arroyo y en el día de hoy hablaremos sobre La API Leaky de Peloton filtró los datos privados de los ciclistas

La API Leaky de Peloton filtró los datos privados de los ciclistas

Además de la pérdida de privacidad, Peloton también está retirando todas las cintas de correr después de que el equipo se vinculó con 70 lesiones y la muerte de un niño.

Peloton hizo un agujero. Su API estaba filtrando datos privados de motociclistas, ignoró una divulgación de vulnerabilidad de una empresa de pruebas de penetración y solucionó parcialmente el agujero, pero no se lo comunicó al investigador hasta que se acercó a un reportero de seguridad. Computadora en busca de ayuda.

Esta es una mala noticia para Peloton, que llega justo antes de que otras noticias mucho más horribles lleguen a los titulares: a saber, el miércoles, la compañía recordó todas sus cintas de correr, que se han relacionado con 70 lesiones y la muerte de un niño. También admitió que se equivocó al rechazar la Comisión de Seguridad de Productos de Consumo. pedido tirar del equipo: En abril, la CPSC advirtió a los consumidores que se mantuvieran alejados del Peloton Tread +, que «presenta serios riesgos para los niños debido a abrasiones, fracturas y muerte».

La CPSC dijo que ha recibido múltiples informes de niños y al menos una mascota atrapada, atascada y tirada debajo del rodillo trasero. La comisión publicó un video perturbador que muestra a un niño siendo tirado por debajo de los rodillos delanteros (no está herido). «Se cree que ocurrió al menos un accidente mientras uno de los padres corría en la cinta, lo que sugiere que el peligro no se puede evitar simplemente bloqueando el dispositivo cuando no está en uso», dijo la CPSC. «Los informes de que una mascota y objetos son succionados debajo de Tread + también sugieren un posible daño al usuario si el usuario pierde el equilibrio como resultado».

Únase a Threatpost para «Fortalecer su negocio contra ataques de ransomware, DDoS y Cryptojacking», un panel de discusión EN VIVO el miércoles 12 de mayo a las 2 pm EDT para este seminario web GRATUITO patrocinado por Zoho ManageEngine.

En el momento de la advertencia de la CPSC, Peloton emitió una declaración burlándose de la solicitud de retirada de la Comisión, calificándola de «inexacta y engañosa».

Fue hace dos semanas. Ahora, la empresa ha dado un giro radical. «Quiero ser claro, Peloton cometió un error en nuestra respuesta inicial a la solicitud de la CPSC», dijo el presidente ejecutivo de Peloton, John Foley, en un comunicado. “Deberíamos habernos involucrado de manera más productiva con ellos desde el principio. Por esto, me disculpo. «

Otras preocupaciones de privacidad

Peloton también está teniendo una semana difícil en términos de noticias sobre privacidad. Nadie quiere que su supuesto perfil privado, edad, ciudad o historial de entrenamiento aparezca en una captura de pantalla mientras bombean sus quads en una de las costosas bicicletas de Peloton. Pero eso es lo que paso TechCrunch’s Zack Whittaker la semana pasada: Así es como descubrió que Pen Test Partners necesitaba un reportero de confianza, que es él, para llamar la atención de Peloton.

El investigador de seguridad de Pen Test Partners, Jan Masters, descubrió que un error permitía a cualquier persona extraer los datos de la cuenta privada de los usuarios directamente de los servidores de Peloton, independientemente de si sus perfiles estaban configurados como privados. Como dijo Masters en un mandar Con respecto al problema técnico, la API con fugas permitía a cualquier usuario, junto con cualquier transeúnte de Internet aleatorio, realizar una solicitud no autenticada de datos de cuenta a la API sin que la API se asegurara de tener derechos sobre los datos. La API permite que las bicicletas carguen datos en los servidores de Peloton.

La lista completa de detalles privados expuestos:

  • ID de usuario
  • ID del instructor
  • Membresía en un grupo
  • Posición
  • Estadísticas de entrenamiento
  • Género y edad
  • Ya sea que esté en el estudio o no

No es bueno para ninguno de los ciclistas de la compañía, de los cuales tiene muchos: Peloton afirma tener más de 3 millones de suscriptores, con más de 1 millón de ellos conectados, ya que pagan para sincronizar las clases de entrenamiento con su equipamiento Peloton. Pero es particularmente preocupante dado que uno de esos miembros es, según los informes, el presidente Joe Biden: como el New York Times informó hace un año, el entonces candidato presidencial comenzó cada día subiéndose a una de estas plataformas de redes sociales de $ 1,895, bicicletas estáticas de interior.

Después de las elecciones, los observadores de ciberseguridad levantaron banderas rojas. Tal como está, las bicicletas tienen cámaras y micrófonos incorporados que permiten a los ciclistas verse y escucharse entre sí si lo desean. ¿Realmente queremos que espías de naciones opuestas puedan echar un vistazo al gimnasio de la Casa Blanca? ¿Escuchar el entrenamiento del presidente o incluso saber cuándo, exactamente, está entrenando?

En enero, Popular Mechanics publicó una historia que cuestionaba la seguridad de tal configuración, con el título «Porque Joe Biden no puede llevar su Peloton a la Casa Blanca». En marzo, no estaba claro si la CIA terminaría permitiendo que el presidente Biden trasladara su bicicleta a la Casa Blanca, aunque los expertos en ciberseguridad le dijeron al New York Times que si lo quería, ciertamente podría tenerlo, es decir, con la preparación suficiente para evitar riesgos.

Pero, ¿qué tipo de preparación puede hacer para proteger al presidente, oa cualquier otra persona, de una API que se filtra y que nadie conoce? Threatpost se ha puesto en contacto con expertos para averiguarlo y actualizará este artículo con sus aportes.

Programa de divulgación de vulnerabilidades de SNAFU

Masters no previó ningún problema para resolver el problema. Después de todo, Peloton tiene una Programa de divulgación de vulnerabilidades. Él reveló en privado la falla a Peloton el 20 de enero, según las reglas del programa. El recibo fue confirmado el mismo día. Desafortunadamente, es el último Pen Testers que ha tenido noticias de la empresa.

Dos días después, la empresa de pruebas de penetración solicitó una actualización y ofreció ayuda para replicar el problema. Una vez más, él no respondió. Pero para el 2 de febrero, los investigadores de seguridad descubrieron que el problema con el punto final no autenticado se había resuelto «de manera silenciosa y parcial».

«Los datos del usuario ahora solo estaban disponibles para todos los usuarios autenticados de Peloton», dijo Masters en su publicación. Pero fue solo una solución parcial, ya que no resolvió el problema con los datos expuestos a ningún otro usuario de Peloton, anotó.

Después de 90 días, Pen Test Partners se puso en contacto con Whittaker para hablar con Peloton en su nombre.

Está bien ahora, según Masters. El miércoles, actualizó su publicación inicial de blog sobre la situación, diciendo que finalmente había sido contactado directamente por el CISO de Peloton.

«Poco después del contacto con la oficina de prensa de Peloton, tuvimos contacto directo con el CISO de Peloton, que era nuevo en el cargo», escribió Masters. «Las vulnerabilidades se resolvieron en gran parte en 7 días. Es una pena que nuestra divulgación no haya sido respondida de manera oportuna y también es una pena que tuviéramos que contratar a un periodista para que nos escuche. Para ser justos con Peloton, lo aceptaron, nos agradeció y reconoció sus fallas en el proceso. Ojalá todos los proveedores fueran tan honestos y agradecidos «.

Peloton proporcionó esta declaración a TechCrunch:

“Mantener nuestra plataforma segura es una prioridad para Peloton y siempre buscamos mejorar nuestro enfoque y proceso para trabajar con la comunidad de seguridad externa. A través de nuestro programa de divulgación coordinada de vulnerabilidades, un investigador de seguridad nos informó que pudo acceder a nuestra API y ver la información disponible en un perfil de Peloton. Tomamos medidas y abordamos los problemas basándonos en sus observaciones iniciales, pero tardamos en actualizar al investigador sobre nuestros esfuerzos de remediación. En el futuro, haremos lo mejor para trabajar en asociación con la comunidad de investigación de seguridad y responder más rápidamente cuando se reporten vulnerabilidades. Queremos agradecer a Ken Munro por enviar sus informes a través de nuestro programa de CVD y por estar dispuesto a trabajar con nosotros para resolver estos problemas «.

Threatpost se acercó a Peloton para preguntarle si tenía la intención de informar a los ciclistas que sus datos privados se habían filtrado y preguntar cómo, exactamente, pretende mejorar sus relaciones laborales con los investigadores de seguridad. Un representante dijo que la compañía no tenía nada más que decir más allá de lo que ya había compartido con Pen Test Partners y TechCrunch.

Suscríbete a Threatpost para «Fortalezca su negocio contra ataques de ransomware, DDoS y cryptojacking«- una mesa redonda EN VIVO en Miércoles 12 de mayo a las 2 p.m.EDT. Patrocinada por Zoho ManageEngine, la presentadora de Threatpost, Becky Bracken, modera un panel de expertos que discuten las mejores estrategias de defensa para estas amenazas de 2021. Se alienta la participación de la audiencia y las preguntas EN VIVO. Únase a la animada discusión e Registrar aquí libre.

.

Puedes compartir en tus redes sociales para que tus colegas opinen

??? ? ? ???

Comparte