ينتقل بيلوتون 2021 من سيئ إلى أسوأ مع ظهور تقارير عن خرق محتمل للبيانات. يبدو أن الخرق نابع من واجهة برمجة تطبيقات مكشوفة سمحت لأي شخص بسحب المعلومات الخاصة لأعضاء Peloton ، بما في ذلك أولئك الذين لديهم إعدادات بيانات خاصة.
ومما زاد الطين بلة ، كشف الباحث الأمني بمسؤولية عن اكتشاف واجهة برمجة التطبيقات المكشوفة لـ Peloton مرة أخرى في كانون الثاني (يناير) 2021 باستخدام الموعد النهائي القياسي 90 - ولكن يبدو أن بيلوتون قد أصلحت الخطأ في الإطار الزمني.
كشف بيلوتون حسب زعمه عن بيانات المشترك
تم الإبلاغ عنها لأول مرة بواسطة Zack Whittaker لـ تك كرانش، سمحت واجهة برمجة التطبيقات المكشوفة لأي شخص بسحب بيانات حساب المستخدم الخاص من خوادم Peloton ، بغض النظر عن حالة الحساب. حسب وصف ويتاكر:
في منتصف التمرين بعد ظهر يوم الاثنين الأسبوع الماضي ، تلقيت رسالة من باحث أمني بها لقطة شاشة لبيانات حسابي على Peloton. تم تعيين ملف التعريف الخاص بي في Peloton على "خاص" ، وقائمة أصدقائي صفر عمدًا ، لذلك لا يمكن لأي شخص عرض ملف التعريف الخاص بي أو العمر أو المدينة أو سجل التمرين.
جاء التقرير من جان ماسترز ، باحث أمني في
شركاء اختبار القلم. وجد Masters أنه يمكنه تقديم طلبات API غير مصرح بها إلى خوادم Peloton. أعادت الطلبات بيانات منها:- معرفات المستخدم
- معرفات المعلم
- عضوية في المجموعة
- موقع
- احصائيات تجريب
- الجنس والعمر
- إذا كانوا في الاستوديو أم لا
بعد الكشف عن خرق البيانات المحتمل ، كشف ماسترز بمسؤولية عن واجهة برمجة التطبيقات المتسربة لـ Peloton. تمنح معظم عمليات الكشف المسؤولة مقدم الخدمة 90 يومًا لإصلاح الخطأ ، وهو ما فعله ماسترز.
ومع ذلك ، يبدو أنه بدلاً من تصحيح الثغرة الأمنية بالكامل ، قامت شركة بيلوتون في البداية بتقييد وصول واجهة برمجة التطبيقات إلى أعضائها. في هذه المرحلة ، يمكن لأي شخص إنشاء حساب جديد بعضوية شهرية واستخدامه للوصول إلى واجهة برمجة التطبيقات.
على الرغم من الاتصال الإضافي من Pen Test Partners ، ظلت بيلوتون غير مستجيبة حتى تواصلت شركة الأبحاث الأمنية مع بيلوتون للحصول على مزيد من التوضيح.
بعد فترة وجيزة من الاتصال بالمكتب الصحفي في بيلوتون ، كان لدينا اتصال مباشر من مدير الأمن العام في بيلوتون ، الذي كان جديدًا في المنصب. تم إصلاح نقاط الضعف إلى حد كبير في غضون 7 أيام. إنه لأمر مخز أن كشفنا لم يتم الرد عليه في الوقت المناسب وأيضًا من العار أنه كان علينا إشراك صحفي من أجل الاستماع إليه.
احتفظت TechCrunch بأخبار تسرب واجهة برمجة التطبيقات (API) حتى حلت بيلوتون المشكلة ، وهو ما حدث منذ ذلك الحين.
متعلق ب: بيلوتون مقابل. نورديك تراك مقابل. Echelon: أفضل مدرب دراجات داخلي
بيلوتون 2021 على مسار وعر
أعلنت شركة بيلوتون ولجنة سلامة المنتجات الاستهلاكية الأمريكية عن سحب طوعي لمنتجات بيلوتون فقي + وتريد. لمزيد من المعلومات وللمشاركة في الاستدعاء ، قم بزيارة موقعنا #اعد الاتصال صفحة https://t.co/I0h2yrSEyXpic.twitter.com/9zp2QMyH9x
- بيلوتون (onepeloton) 5 مايو 2021
كان بيلوتون زائرًا متكررًا لعناوين الأخبار ، وليس دائمًا للأسباب الصحيحة. تم سحب جهاز الجري بيلوتون + تريدميل بعد الموت المأساوي لطفل صغير وإصابات متعددة. في الوقت نفسه ، هناك دعوات لمزيد من التحقيق في منتجات Peloton الأخرى للتحقق من وجود مشكلات أمنية.
متعلق ب: تحارب Peloton عملية استدعاء آمنة لمداسها + جهاز المشي
إذا كنت تمتلك Peloton Tread + treadmill ، فقد تم استدعاء المنتج رسميًا في 5 مايو 2021. ال صفحة استدعاء Peloton يوفر مزيدًا من المعلومات حول استرداد المبلغ المدفوع بالكامل وإعادة جهاز المشي الخاص بك.
تسبب الحادث في قيام الرئيس التنفيذي لشركة بيلوتون جون فولي بإرسال بريد إلكتروني إلى العملاء.
اقرأ التالي
- حماية
- أخبار التكنولوجيا
- رياضات
- خرق أمني
- اللياقة البدنية
Gavin هو محرر Junior لـ Windows و Technology Explained ، وهو مساهم منتظم في Really Useful Podcast ، وكان محرر موقع MakeUseOf الشقيق الذي يركز على التشفير ، Blocks Decoded. حصل على بكالوريوس (مع مرتبة الشرف) في الكتابة المعاصرة مع ممارسات فنية رقمية نُهبت من تلال ديفون ، بالإضافة إلى أكثر من عقد من الخبرة المهنية في الكتابة. يستمتع بكميات وفيرة من الشاي وألعاب الطاولة وكرة القدم.
اشترك في نشرتنا الإخبارية
انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!
خطوة أخرى أيضا…!
يرجى تأكيد عنوان بريدك الإلكتروني في البريد الإلكتروني الذي أرسلناه لك للتو.
