API bocor Peloton memungkinkan siapa pun mengambil data akun pribadi pengendara – TechCrunch


Setengah jalan melalui hari Senin saya latihan sore minggu lalu, saya mendapat pesan dari peneliti keamanan dengan screenshot data akun peloton saya.

Profil Peloton saya disetel ke pribadi dan daftar teman saya sengaja dikosongkan, jadi tidak ada yang bisa melihat profil, usia, kota, atau riwayat latihan saya. Tetapi bug memungkinkan siapa pun untuk menarik data akun pribadi pengguna langsung dari server Peloton, bahkan dengan profil mereka disetel ke pribadi.

Peloton, merek kebugaran di rumah yang identik dengan sepeda statis dalam ruangan, memiliki lebih dari tiga juta pelanggan. Bahkan Presiden Biden genap dikatakan memiliki satu. Sepeda latihan saja harganya lebih dari $ 1.800, tetapi siapa pun dapat mendaftar untuk langganan bulanan untuk bergabung dengan berbagai kelas.

Saat Biden dilantik (dan Pelotonnya dipindahkan ke Gedung Putih – dengan asumsi Secret Service membiarkan dia), Jan Masters, peneliti keamanan di Pen Test Partners, menemukan bahwa dia dapat membuat permintaan yang tidak diautentikasi ke API Peloton untuk data akun pengguna tanpa memeriksa untuk memastikan orang tersebut diizinkan untuk memintanya. (API memungkinkan dua hal untuk berbicara satu sama lain melalui internet, seperti sepeda Peloton dan server perusahaan yang menyimpan data pengguna.)

Tetapi API yang terbuka memungkinkannya – dan siapa pun di internet – mengakses usia, jenis kelamin, kota, berat badan, statistik olahraga pengguna Peloton, dan jika itu adalah hari ulang tahun pengguna, detail yang disembunyikan saat halaman profil pengguna disetel ke pribadi. .

Masters melaporkan API bocor ke Peloton pada 20 Januari dengan tenggat waktu 90 hari untuk memperbaiki bug, waktu jendela standar yang diberikan peneliti keamanan kepada perusahaan untuk memperbaiki bug sebelum detailnya dipublikasikan.

Tetapi tenggat waktu itu datang dan pergi, bug belum diperbaiki, dan Masters belum mendapat kabar dari perusahaan, selain dari email awal yang menyatakan bahwa laporan bug tersebut telah diterima. Sebagai gantinya, Peloton hanya membatasi akses ke API-nya untuk anggotanya. Tapi itu berarti siapa pun dapat mendaftar dengan keanggotaan bulanan dan mendapatkan akses ke API lagi.

TechCrunch menghubungi Peloton setelah tenggat waktu berakhir untuk menanyakan mengapa laporan kerentanan telah diabaikan, dan Peloton kemarin mengkonfirmasi bahwa mereka telah memperbaiki kerentanan tersebut. (TechCrunch menahan cerita ini sampai bug diperbaiki untuk mencegah penyalahgunaan.)

Juru bicara Peloton Amelise Lane memberikan pernyataan berikut:

Merupakan prioritas bagi Peloton untuk menjaga keamanan platform kami dan kami selalu berupaya meningkatkan pendekatan dan proses kami untuk bekerja dengan komunitas keamanan eksternal. Melalui program Pengungkapan Kerentanan Terkoordinasi, seorang peneliti keamanan memberi tahu kami bahwa dia dapat mengakses API kami dan melihat informasi yang tersedia di profil Peloton. Kami mengambil tindakan, dan mengatasi masalah berdasarkan pengajuan awalnya, tetapi kami lambat memberi tahu peneliti tentang upaya perbaikan kami. Ke depannya, kami akan bekerja lebih baik secara kolaboratif dengan komunitas riset keamanan dan merespons lebih cepat saat kerentanan dilaporkan. Kami ingin berterima kasih kepada Ken Munro karena telah mengirimkan laporannya melalui program CVD kami dan terbuka untuk bekerja sama dengan kami untuk menyelesaikan masalah ini.

Master sejak itu sudah siap sebuah posting blog menjelaskan kerentanan secara lebih rinci.

Munro, yang mendirikan Pen Test Partners, mengatakan kepada TechCrunch: “Peloton mengalami sedikit kegagalan dalam menanggapi laporan kerentanan, tetapi setelah memberikan dorongan ke arah yang benar, mengambil tindakan yang tepat. Program pengungkapan kerentanan bukan hanya halaman di situs web; itu membutuhkan tindakan terkoordinasi di seluruh organisasi. “

Tapi pertanyaan tetap untuk Peloton. Ketika ditanya berulang kali, perusahaan menolak untuk mengatakan mengapa tidak menanggapi laporan kerentanan Masters. Juga tidak diketahui apakah ada orang yang dengan jahat mengeksploitasi kerentanan, seperti mengorek data akun secara massal.

Facebook, LinkedIn, dan Clubhouse memiliki semuanya menjadi korban serangan gesekan yang menyalahgunakan akses ke API untuk menarik data tentang pengguna di platform mereka. Tetapi Peloton menolak untuk mengonfirmasi apakah mereka memiliki log untuk mengesampingkan eksploitasi berbahaya dari API yang bocor.



Sumber

Related Articles

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Stay Connected

21,989FansLike
0FollowersFollow
0SubscribersSubscribe
- Advertisement -

Latest Articles