Cuentas de usuario de Peloton sometidas a filtraciones de datos

Destacadas fugas de datos de Peloton

Se supone que la forma física es difícil, es cómo sabes que está funcionando (o al menos eso es lo que nos dicen). Pero no debería ser difícil de esta manera. Un investigador de seguridad descubrió que las cuentas de usuario de las bicicletas y cintas de correr Peloton estaban sujetas a filtraciones de datos, y la empresa no tomó ninguna medida inicialmente.

Potencial de pelotón para fugas de datos

Con muchos gimnasios cerrados durante gran parte de la pandemia, las personas se vieron obligadas a hacer ejercicio en casa. Algunos tomaron ese dinero que estaban ahorrando y lo usaron para comprar una bicicleta estática o una cinta de correr Peloton. Pero la información que se compartió en las cuentas de Peloton quedó desprotegida y sujeta a filtraciones de datos.

El equipo de fitness Peloton inicialmente fue objeto de escrutinio cuando el presidente de Estados Unidos, Joe Biden, se preparaba para mudarse a la Casa Blanca. Tiene una bicicleta estática Peloton y está equipada con una cámara y un micrófono, como la mayoría de las bicicletas tradicionales conectadas a Internet. Se habló de no permitirle traerlo a la Casa Blanca o despojar a la bicicleta de su conectividad a Internet.

Bicicleta Peloton Data Leaks2

No está claro si al presidente Biden se le permitió llevar la bicicleta Peloton con él. Sin embargo, el investigador de seguridad Jan Masters, de Pen Test Partners, se decidió a investigar la seguridad de los equipos Peloton. Él aprendió podría realizar un acceso no autorizado a la API de Peloton para los datos de la cuenta. El sistema permitía el acceso a cualquiera.

Los datos de usuario de Peloton, como la edad, el sexo, la ciudad, el peso y las estadísticas de entrenamiento, estaban abiertos a filtraciones de datos, independientemente de si las cuentas estaban configuradas como privadas.

Masters informó a Peloton sobre su descubrimiento de posibles fugas de datos. Al igual que con la mayoría de los investigadores de seguridad, le dio a la empresa 90 días para solucionar el problema antes de hacer público su descubrimiento. En esa ventana de 90 días, Peloton no solucionó la posibilidad de filtraciones de datos. La única acción que tomó fue cerrar el acceso a los miembros. Pero cualquiera puede registrarse para obtener una cuenta y obtener ese acceso.

Peloton finalmente anunció en un comunicado que había solucionado el problema de seguridad y admitió sus acciones de priones.

“Es una prioridad para Peloton mantener segura nuestra plataforma, y ​​siempre buscamos mejorar nuestro enfoque y proceso para trabajar con la comunidad de seguridad externa. A través de nuestro programa de divulgación coordinada de vulnerabilidades, un investigador de seguridad nos informó que pudo acceder a nuestra API y ver la información que está disponible en un perfil de Peloton. Tomamos medidas y abordamos los problemas en función de sus presentaciones iniciales, pero nos demoramos en informar al investigador sobre nuestros esfuerzos de remediación. En el futuro, haremos mejor en trabajar en colaboración con la comunidad de investigación de seguridad y responder más rápidamente cuando se reporten vulnerabilidades. Queremos agradecer [Pen Test Partners Founder] Ken Munro por enviar sus informes a través de nuestro programa de CVD y por estar dispuesto a trabajar con nosotros para resolver estos problemas «.

Después de la secuela

Munro dijo después de la declaración de Peloton, “Peloton tuvo un pequeño error al responder al informe de vulnerabilidad, pero después de un empujón en la dirección correcta, tomó las medidas adecuadas. Un programa de divulgación de vulnerabilidades no es solo una página en un sitio web; requiere una acción coordinada en toda la organización «.

Cinta de correr Peloton Data Leaks

Si bien Peloton finalmente hizo lo correcto, es preocupante que haya tomado tanto tiempo para corregir la vulnerabilidad y que no fue por adelantado cuando lo hizo. Muchas, muchas empresas tienen vulnerabilidades, Peloton no está solo en eso. Pero es necesario que exista responsabilidad cuando se saca a la luz un problema.

Si es usuario de Peloton, sus datos ahora están seguros. Pero sepa que la compañía fue laxa con los datos de los clientes, incluso cuando se incluyó una figura pública y la seguridad nacional en la mezcla.

Siga leyendo para conocer la filtración de datos de Facebook que afecta a más de 500 millones de usuarios.

Credito de imagen: Kit de prensa de Peloton Media