close
資料圖(來自:Peloton)
Peloton 的客戶群裡有許多名人,甚至連美國現總統拜登也有一臺。在售價 1800 美元的動感單車的基礎上,該公司還提供瞭豐富的訂閱選項,其中包括瞭各種各樣的課程。
然而 Pen Test Partners 安全研究員 Jan Masters 發現,他竟然能夠在未經身份驗證的情況下,向 Peloton 的官方 API 提出可獲取其它用戶私人數據的請求,且用戶的本地設備和雲端服務器都如此不設防。
這些數據中包括瞭詳細的用戶年齡、性別、城市、體重、鍛煉統計數據,甚至可揭示用戶在個人資料設置頁面中設為私密的生日等信息。
遺憾的是,盡管早在 2021 年 1 月 20 日就向 Peloton 通報瞭這個 API 漏洞,但該公司還是未能在 90 條的標準期限內完成 bug 修復。
除瞭最初收到的一封確認函,該公司後續的態度也相當消極,隻將 API 訪問權限設置為僅會員可用。對於攻擊者來說,依然能夠通過註冊月度會員的形式,訪問到其他人的各種私密信息。
慶幸的是,在漏洞曝光的壓力下,Peloton 終於在近日完成瞭該漏洞的修復,同時回應稱很難向安全人員介紹詳細的補救措施。
展望未來,該公司將更積極地與安全研究社區合作,以在收到漏洞報告時作出更快的響應。
全站熱搜
留言列表
