Saltar al contenido
computerg

馃 La Violaci贸n De Seguridad De Pelot贸n Habr铆a Tolerado A Cualquiera Acceder A Los Datos Del Usuario

mayo 5, 2021

De las mejores cosas de tener una bici Pelot贸n es el hecho de que sus adiestramientos son privados, mas a inicios de este a帽o, un estudioso de seguridad descubri贸 que era posible efectuar peticiones no autenticadas a la bici. API de la compa帽铆a para acceder a los datos de la cuenta de usuario de Pelot贸n.

El estudioso de seguridad Jan Masters, de la firma de seguridad brit谩nica Pen Test Partners, empez贸 a investigar la seguridad de la marca de acondicionamiento f铆sico para el hogar en el instante de la toma de posesi贸n del presidente Biden y descubri贸 que planea llevar su bici Pelot贸n a la Casa Blanca. No obstante, en ese instante, los especialistas en ciberseguridad advirtieron que podr铆a representar un peligro para la seguridad nacional y ahora semeja que podr铆an tener raz贸n.

A lo largo de su investigaci贸n, Masters descubri贸 que debido a la API expuesta de Pelot贸n, pod铆a acceder a ID de usuario, ID de instructor, Membres铆a de conjunto, Localizaci贸n, Formaci贸n de estad铆sticas, g茅nero y edad de los usuarios del programa de membres铆a on line de la Compa帽铆a desde sus servidores, aun si tuviesen su perfil establecido en privado.

A mediados de enero, Masters notific贸 sus descubrimientos a la compa帽铆a y les dio un plazo de divulgaci贸n de noventa d铆as, como dicta el est谩ndar de la industria, para corregir el fallo que dejaba a los usuarios no autenticados acceder a los datos de la cuenta de usuario de Pelot贸n.

API expuesta

Cuando lleg贸 y se fue el plazo de noventa d铆as con solo un e mail de Pelot贸n reconociendo que hab铆a visto el informe de fallo, Masters decidi贸 ponerse en contacto con TechCrunch, quien dio a conocer la historia primero.

Si bien la compa帽铆a no resolvi贸 el fallo inicial, limit贸 el acceso a su API a sus miembros. No obstante, eso quer铆a decir que cualquiera podr铆a haberse registrado para conseguir una subscripci贸n digital mensual por solo 鈧 doce y noventa y nueve y acceder a la API, como a los datos de la cuenta de usuario de Pelot贸n.

Desde ese momento, Pelot贸n ha confirmado con TechCrunch que la vulnerabilidad ahora est谩 solucionada. LaComparacion Pro asimismo se ha puesto en contacto con la compa帽铆a y un portavoz de Pelot贸n explic贸 de qu茅 manera planea trabajar m谩s de cerca con los estudiosos de seguridad como una parte de su programa ordenado de divulgaci贸n de vulnerabilidades en el futuro, diciendo:

鈥淓s una prioridad para Pelot贸n sostener segura nuestra plataforma y siempre y en toda circunstancia procuramos progresar nuestro enfoque y proceso de trabajo con la comunidad de seguridad externa. Mediante nuestro programa ordenado de divulgaci贸n de vulnerabilidades, un estudioso de seguridad nos notific贸 que pudo acceder a nuestra API y ver la informaci贸n libre en un perfil de Pelot贸n. Tomamos medidas y resolvemos los inconvenientes en funci贸n de sus presentaciones iniciales, mas nos retardamos en avisar al estudioso de nuestros sacrificios de reparaci贸n. En el futuro, vamos a hacer lo mejor para trabajar en cooperaci贸n con la comunidad de investigaci贸n de seguridad y contestar m谩s velozmente cuando se reporten vulnerabilidades. Nos agradar铆a dar las gracias a Ken Munro por mandar sus informes por medio de nuestro programa de CVD y por estar presto a trabajar con nosotros para solucionar estos inconvenientes.

V铆a TechCrunch


Source link