居家健身品牌 Pelonton 以室内固定式自行车和跑步机而被人们所熟知,但近日却曝出了 300 万订阅用户个人资料可能失窃的一个严重漏洞。即使你将个人资料设置为私密,且没有任何好友,Pelonton 应用程序接口(API)的这个安全漏洞,还是允许任何人获取用户的私人账户数据。
Peloton 的客户群里有许多名人,甚至连美国现总统拜登也有一台。在售价 1800 美元的动感单车的基础上,该公司还提供了丰富的订阅选项,其中包括了各种各样的课程。
然而 Pen Test Partners 安全研究员 Jan Masters 发现,他竟然能够在未经身份验证的情况下,向 Peloton 的官方 API 提出可获取其它用户私人数据的请求,且用户的本地设备和云端服务器都如此不设防。
这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。
遗憾的是,尽管早在 2021 年 1 月 20 日就向 Peloton 通报了这个 API 漏洞,但该公司还是未能在 90 条的标准期限内完成 bug 修复。
除了最初收到的一封确认函,该公司后续的态度也相当消极,只将 API 访问权限设置为仅会员可用。对于攻击者来说,依然能够通过注册月度会员的形式,访问到其他人的各种私密信息。
庆幸的是,在漏洞曝光的压力下,Peloton 终于在近日完成了该漏洞的修复,同时回应称很难向安全人员介绍详细的补救措施。
展望未来,该公司将更积极地与安全研究社区合作,以在收到漏洞报告时作出更快的响应。
(举报)