این نشت روز وحشتناک ، خوب ، و واقعاً بد Peloton را حتی بدتر می کند


نشت داده ها روز وحشتناک ، خوب و بد Peloton را حتی بدتر می کند

پلوتون

Peloton روز سختی را پشت سر می گذارد. در ابتدا ، این شرکت پس از مرگ کودک 6 ساله ای که زیر یکی از دستگاه ها کشیده شده بود ، دو مدل تردمیل را فراخواند. اکنون شایعه شده است که Peloton حتی در صورت اطلاع شرکت از نشت ، اطلاعات حساس کاربر را در معرض نمایش قرار می دهد. جای تعجب نیست که قیمت سهام این شرکت در روز چهارشنبه با 15 درصد بسته شد.

Peloton خطی از دوچرخه های ثابت شبکه و تردمیل را ارائه می دهد. این شرکت همچنین یک سرویس آنلاین ارائه می دهد که به کاربران امکان می دهد در کلاس ها شرکت کنند ، با مربیان کار کنند یا با سایر کاربران آموزش دهند. در ماه اکتبر ، Peloton به سرمایه گذاران گفت که دارای 3 میلیون عضو جامعه است. اعضا می توانند حسابها را به صورت عمومی تنظیم کنند تا دوستان بتوانند جزئیاتی مانند کلاسهای شرکت شده و آمار آموزش را مشاهده کنند یا کاربران می توانند حسابهای خود را خصوصی نگه دارند.

می دانم تابستان گذشته کجا آموزش دیدی؟

محققان شرکت مشاوره Pen Test Partners روز چهارشنبه گفتند که یک نقص در سرویس آنلاین Peloton باعث می شود داده های همه کاربران آن برای هر کسی در هر نقطه از جهان قابل دسترسی باشد ، حتی اگر حساب کاربری شخصی باشد. تنها چیزی که لازم بود ، آگاهی کمی از رابط های برنامه نویسی معیوب بود که Peloton از آنها برای انتقال داده ها بین دستگاه ها و سرورهای شرکت استفاده می کند.

داده های در معرض شامل:

  • شناسه های کاربر
  • شناسه های مربی
  • عضویت در گروه
  • آمار آموزش
  • جنسیت و سن
  • وزن
  • اگر آنها در استودیو هستند یا نه

آرس موافقت کرده است که اطلاعات شخصی دیگری را که در معرض نمایش است حفظ کند زیرا Peloton هنوز در تلاش است تا اطلاعات آن را تأمین کند.

چهارشنبه در وبلاگ Pen Test Partners آمده است که API ها قبل از ارائه اطلاعات احتیاج به احراز هویت ندارند. محققان این شرکت گفتند که آنها در معرض قرار گرفتن در معرض Peloton در ژانویه قرار گرفتند و تأیید فوری دریافت کردند. سپس ، در پست روز چهارشنبه ، پلوتون ساکت شد.

پاسخ آهسته ، تصحیح اشتباه

دو هفته بعد ، محققان گفتند ، این شرکت به طور ضمنی یک راه حل جزئی ارائه داده است. به جای ارائه تأیید اعتبار به داده های کاربر ، API ها داده ها را فقط برای کسانی که حساب کاربری دارند در دسترس قرار می دهند. این تغییر از هیچ چیز بهتر بود ، اما با این وجود به هر کسی که در این سرویس آنلاین مشترک شده است اجازه داده شد اطلاعات شخصی مشترک خود را دریافت کند.

وقتی Pen Test Partners از تصمیم ناکافی به Peloton خبر دادند ، گفتند پاسخی دریافت نکرده اند. کن مونرو ، محقق Pen Text Partners گفت که وی با جستجوی مدیران شرکت در LinkedIn روبرو شده است. محققان می گویند این مشکل فقط پس از پرس و جو از خبرنگار زک ویتاکر ، خبرنگار TechCrunch ، که اولین بار از این نشت خبر داد ، صورت گرفت.

مونرو گفت: “من از آن نقطه به بعد عصبانی بودم ، اما فکر کردم ارزش آخرین شلیک قبل از راه اندازی یک کاربر 0 روزه Peloton را دارد.” “من از Zack W خواستم که وارد مرکز مطبوعاتی آنها شود. این یک اثر معجزه آسا داشت – ساعاتی بعد من ایمیلی از CISO جدید آنها دریافت کردم که برای ارسال جدید بود و در حال بررسی بود ، پاسخ نسبتاً ضعیفی پیدا کردم و برنامه ای برای رفع اشکالات داشتم. “

یک نماینده Peloton از بحث در مورد برنامه ضبط خودداری کرد ، اما پاسخ محرمانه زیر را ارائه داد:

اولویت Peloton حفظ امنیت سیستم عامل ما است و ما همیشه سعی در بهبود رویکرد و روند کار با جامعه امنیتی خارج داریم. از طریق برنامه شناسایی آسیب پذیری هماهنگ ، یک محقق امنیت به ما اطلاع می دهد که توانسته است به API ما دسترسی پیدا کند و اطلاعات موجود در حساب Peloton را ببیند. ما بر اساس ادعاهای اولیه وی وارد عمل شدیم و به موضوعات پرداختیم ، اما تلاش های اصلاحی خود را به آهستگی به محقق اطلاع دادیم در آینده ، ما بهتر قادر خواهیم بود که با جامعه تحقیقات امنیتی کار کنیم و در صورت گزارش آسیب پذیری سریعتر پاسخ دهیم. ما می خواهیم از كن مونرو برای ارائه گزارش های خود از طریق برنامه GCC ما و باز بودن در كار با ما برای حل این مسائل تشكر كنیم.

این حادثه آخرین یادآوری است که داده های ذخیره شده در اینترنت اغلب رایگان هستند ، حتی وقتی شرکت ها می گویند چنین نیست. این افراد را درگیر رابطه می کند. از یک طرف ، تقسیم وزن ، آمار تمرین و سایر داده ها اغلب به کاربران کمک می کند تا از تمرینات یا تمرینات گروهی بیشترین بهره را ببرند. از طرف دیگر … خوب ، شما می دانید.

من معمولاً سعی می کنم بسیاری از داده های ارائه شده را جعل کنم. بیشتر سرویس هایی که به کارت اعتباری نیاز دارم ، خریدها را تأیید می کنند ، حتی اگر نام ، آدرس و شماره جعلی ارائه کنم. فقدان این جزئیات متصل به نام های کاربری یا سایر داده ها اغلب می تواند نشت نشت داده ها از این دست را به حداقل برساند.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>