Peloton遭遇数据泄露。好消息是什么?关于你的运动习惯的信息后来被外人自由获取,这并不全是坏事。然而,Peloton的延迟反应更令人担忧。
作为钢笔测试伙伴在最近的一篇博客文章中描述了一些api该公司以前使用的信息可以被任何经过认证的人查询到而且未经认证的用户。后来Peloton改变了这一规定,只允许使用前者,但考虑到任何对数据感兴趣的人都可以简单地注册一个免费的Peloton账户,这并不能起到多大的保护作用。
至于攻击者可以窃取哪些数据,可用的数据包括:
- 用户id
- 教练id
- 组成员
- 位置
- 训练数据
- 性别和年龄
- 是否有人在演播室
这很烦人,但并不可怕。如果攻击者知道你锻炼了多少,他们就无能为力了。但它是他们可能会利用这些信息(单独或结合其他数据泄露提供的其他信息)向你发送一个聪明的网络钓鱼尝试。
什么是双重麻烦的是Peloton花了多长时间来回应关于这些(通常开放的)api的报告。Pen Test Partners指出:
- 20.th2021年1月:根据他们的[漏洞披露计划],秘密向Peloton披露。
- 20.th2021年1月:收据承认。这是我们最后一次听到佩洛顿的消息。
- 22nd2021年1月:我们请求更新,并提供了复制漏洞的协助。没有回应。
- 2nd2021年2月:未经验证的API端点问题是无声的和部分解决-用户数据现在只对所有经过身份验证的Peloton用户开放.呃……吗?
- 2nd2021年2月:考虑到无声修复,我们要求更新。没有回应。
- 90天后,我们请了一位值得信赖的记者代表我们与佩洛顿对话。
这名记者是TechCrunch自己的扎克惠塔克她最后在Peloton上发表了一篇文章最后似乎引起了公司的注意,更重要的是,影响了改变。
作为一名安全/隐私爱好者,看到事情发展到这一步,我感到很沮丧。虽然Peloton声称自最初的漏洞提交以来,它一直在采取行动,但j奇怪的巧合是,这些漏洞仍然可以被利用——实际上是可以被删除——直到科技领域最大的出版物之一曝光了这个问题。Peloton尚未证实或否认这些数据不是刮集体被外人发现,这更烦人了。
这一整集会让你把你的Peloton自行车扔进垃圾桶吗?不。那是一件昂贵的设备。不过,我会密切关注未来Peloton数据泄露的消息;你可能不得不自己采取行动,而不是等待Peloton采取适当的披露步骤(和补救措施)。您可能还需要考虑在任何可能的情况下对数据进行混淆。如果你骑自行车(或慢跑)不需要它,那么Peloton也没有理由需要它——给他们一个假的生日、地址、姓名等等。你的运动伙伴不会介意的。