Forscher behauptet Peloton APIs ausgesetzt alle Benutzerdaten

Cyber Security News

Ein Sicherheitsforscher hat mehrere Schwachstellen in der Software des Fitnessgeräteherstellers Peloton entdeckt, die möglicherweise sensible Kundendaten an nicht authentifizierte Benutzer weitergegeben haben.

Pen Test Partners erklärt in einem neuen Blog-Post, dass das Problem auf nicht authentifizierte API-Endpunkte zurückgeführt werden kann, die es Hackern ermöglicht haben könnten, Informationen über alle Benutzer abzufragen.

Zu den potenziell exponierten Daten gehörten Benutzer- und Ausbilder-IDs, Gruppenzugehörigkeit, Standort, Workout-Statistiken, Geschlecht und Alter und ob Benutzer im Studio sind oder nicht.

“Die mobile, Web-Anwendung und Back-End-APIs hatten mehrere Endpunkte, die Benutzerinformationen sowohl für authentifizierte als auch für nicht authentifizierte Benutzer enthüllten”, sagte die Sicherheitsberatung.

“Eine vollständige Untersuchung sollte von Peloton durchgeführt werden, um ihre Sicherheit zu verbessern, insbesondere jetzt, da berühmte Personen diesen Dienst offen nutzen.”

Die Sicherheitsmängel waren so schlecht, dass es sogar für Benutzer im Privatsphärenmodus Informationen durchsickern ließ, behauptete Pen Test Partners.

Peloton ist während der Pandemie sehr populär geworden, als eine Möglichkeit für eingesperrte Verbraucher, sich zu Hause fit zu halten. Das Unternehmen behauptet, über drei Millionen Abonnenten zu haben, darunter berühmte Benutzer wie US-Präsident Biden, die wahrscheinlich nicht wollen, dass ihre Trainingsstatistiken und ihr Standort veröffentlicht werden.

Leider schien Peloton zunächst ein paar Fehler im Umgang mit der verantwortungsvollen Offenlegung zu machen.

Laut Pen Test Partners: “Es bestätigte die Enthüllung, ignorierte mich dann und ‘reparierte’ stillschweigend eines der Probleme. Der ‘Fix’ hat die Schwachstelle nicht behoben.”

Die Sicherheitsfirma sah sich gezwungen, sich Monate nach der ersten Enthüllung an einen Journalisten zu wenden, um einen konstruktiven Dialog zu beginnen.

“Kurz nach der Kontaktaufnahme mit der Pressestelle von Peloton hatten wir direkten Kontakt mit dem CISO von Peloton, der neu im Amt war. Die Schwachstellen wurden innerhalb von sieben Tagen weitgehend behoben”, heißt es abschließend.

“Es ist schade, dass auf unsere Offenlegung nicht zeitnah reagiert wurde und auch schade, dass wir einen Journalisten einschalten mussten, um Gehör zu finden.”

Jason Kent, Hacker in Residence bei Cequence Security, argumentierte, dass 2021 das Jahr des API-Angriffs werden könnte, wenn Unternehmen nicht alle ihre API-Endpunkte finden und richtig absichern.

“Die undichte Peloton-API ist nur das jüngste Beispiel dafür, wie schwierig es für API-Entwickler sein kann, die Authentifizierung richtig hinzubekommen. In der Notwendigkeit, eine API zu bauen, die es einigen Nutzern erlaubt, Informationen zu teilen und eine Community aufzubauen, und gleichzeitig diejenigen zu respektieren, die ihre Privatsphäre schützen wollen, indem sie sicherstellen, dass die Daten sicher sind, haben sie alle Nutzerdaten riskiert”, fügte er hinzu.

“Die Informationen sind vielleicht nicht in der Anwendung selbst zu sehen, aber Entwickler und Sicherheitsteams müssen auch bestätigen, dass die APIs selbst den Sicherheitsmaßnahmen entsprechen.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com