ペロトンはデータ侵害に見舞われました。良いニュースは?その後、部外者が自由にアクセスできるようになったあなたの運動習慣に関する情報は、それほどひどいものではありません。しかし、ペロトンの対応の遅れの方がはるかに懸念すべきことだ。
としてペネトレーションテストパートナー最近のブログ投稿で説明されているように、同社が以前に使用していたいくつかの API は、認証された誰でもクエリできる可能性がありました。そして認証されていないユーザーも同様です。その後、同社は前者のみを許可するように変更したが、データに興味のある人なら誰でも無料の Peloton アカウントに登録するだけで済んだことを考えると、あまり保護にはならなかった。
攻撃者が何を収集できるかについては、利用可能なデータには次のものが含まれます。
ユーザーID
講師ID
グループメンバーシップ
位置
ワークアウトの統計
性別と年齢
人がスタジオにいたかどうか
それは迷惑ではありますが、恐ろしいことではありません。あなたがどれだけ運動しているかを知っている場合、攻撃者にできることはあまりありません。しかし、それはは彼らはこの情報を(単独で、または他のデータ侵害によって提供された他の情報と組み合わせて)使用して、巧妙なフィッシング攻撃を送信する可能性があります。
二重とは何ですか 問題は、ペロトンがこれらの(一般にオープンな)API に関する報告に応答するまでにどれだけの時間がかかったのかということです。 Pen Test Partners は次のように指摘しています。
20
番目
2021 年 1 月:
[脆弱性開示プログラム]に従って、ペロトンに非公開で開示されました。
20
番目
2021 年 1 月:
受け取り確認しました。これがペロトンから聞いた最後です。
22
nd
2021 年 1 月:
私たちはアップデートをリクエストし、脆弱性を再現するための支援を提供しました。応答がありません。
2
nd
2021 年 2 月:
認証されていない API エンドポイントの問題はサイレントかつ部分的に解決されました – ユーザー データは
すべての認証された Peloton ユーザーのみが利用できるようになりました
。は…?
2
nd
2021 年 2 月:
サイレント修正を考慮して、アップデートを要求しました。応答がありません。
90日後、私たちは信頼できるジャーナリストに、私たちに代わってペロトンと話をするよう依頼しました。
当該ジャーナリストはTechCrunchの記者だったザック・ウィテカー、彼は最終的にペロトンに次のような記事を発表しました。ついに会社の注目を集め、さらに重要なことに変化をもたらしたようです。
セキュリティ/プライバシー愛好家として、事態がその点に達するのを見るのはイライラします。 Peloton は、最初に脆弱性が提出されて以来、対策を講じてきたと主張していますが、技術分野の最大手の出版物の 1 つが問題を暴露するまで、脆弱性が悪用可能であり、実際にはスクレイピング可能であったのは奇妙な偶然です。ペロトンはまだデータを肯定も否定もしていないそうではなかった削られたたくさん外部の関係者によるもので、これはますます迷惑です。
このエピソード全体を見て、ペロトンのバイクをゴミ箱に捨てるべきでしょうか?いいえ、それは高価な機器です。ただし、今後ペロトンのデータ侵害に関するニュースには耳を傾けていきたいと思います。ペロトンが適切な開示手順 (および修復) を行うのを待つのではなく、自分で対処する必要がある場合があります。可能な場合は、データを難読化することも検討してください。自転車に乗る(またはジョギングする)のに必要ないのであれば、ペロトンがそれを必要とする理由はありません。偽の誕生日、住所、名前などを提供するのです。競合する運動仲間は気にしません。