Créditos de imagen: Echelon (imagen de stock)
Peloton no fue el único gigante del entrenamiento en casa exponer datos de cuentas privadas. El gigante rival del ejercicio Echelon también tenía una API con fugas que permitía a prácticamente cualquier persona acceder a la información de la cuenta de los ciclistas.
La empresa de tecnología de acondicionamiento físico Echelon, como Peloton, ofrece una variedad de equipos de entrenamiento (bicicletas, remeros y una cinta de correr) como una alternativa más barata para que los miembros hagan ejercicio en casa. Su aplicación también permite a los miembros unirse a clases virtuales sin necesidad de equipo de entrenamiento.
Pero Jan Masters, investigador de seguridad de Pen Test Partners, descubrió que la API de Echelon le permitía acceder a los datos de la cuenta, incluido el nombre, la ciudad, la edad, el sexo, el número de teléfono, el peso, la fecha de nacimiento y las estadísticas e historial de entrenamiento, de cualquier otro miembro. en una clase en vivo o pregrabada. La API también reveló cierta información sobre el equipo de entrenamiento de los miembros, como su número de serie.
Maestros, si recuerdas, encontró un error similar con la API de Peloton, que le permitió realizar solicitudes no autenticadas y extraer datos de cuentas de usuario privadas directamente de los servidores de Peloton sin que el servidor verificara para asegurarse de que él (o cualquier otra persona) tuviera permiso para solicitarlo.
La API de Echelon permite que los dispositivos y aplicaciones de sus miembros se comuniquen con los servidores de Echelon a través de Internet. Se suponía que la API verificaría si el dispositivo del miembro estaba autorizado a extraer datos del usuario mediante la verificación de un token de autorización. Pero Masters dijo que el token no era necesario para solicitar datos.
Masters también encontró otro error que permitía a los miembros extraer datos de cualquier otro miembro debido a controles de acceso débiles en la API. Masters dijo que este error facilitó la enumeración de las ID de las cuentas de usuario y la extracción de datos de las cuentas de los servidores de Echelon. Facebook, LinkedIn, Peloton y Clubhouse tienen todos víctima de ataques de raspado que abusan del acceso a las API para obtener datos sobre los usuarios en sus plataformas.
Ken Munro, fundador de Pen Test Partners, reveló las vulnerabilidades a Echelon el 20 de enero en un mensaje directo de Twitter, ya que la empresa no tiene un proceso de divulgación de vulnerabilidades de cara al público (que dice que ahora está “en revisión”). Pero los investigadores no recibieron respuesta durante los 90 días posteriores a la presentación del informe, la cantidad estándar de tiempo que los investigadores de seguridad dan a las empresas para corregir fallas antes de que sus detalles se hagan públicos.
Heaven32 le pidió a Echelon un comentario y le dijeron que las fallas de seguridad identificadas por Masters, que él escribió en una publicación de blog, se corrigieron en enero.
“Contratamos un servicio externo para realizar una prueba de penetración de sistemas e identificar vulnerabilidades. Hemos tomado las medidas adecuadas para corregirlos, la mayoría de las cuales se implementaron antes del 21 de enero de 2021. Sin embargo, la posición de Echelon es que el ID de usuario no es PII [personally identifiable information,” said Chris Martin, Echelon’s chief information security officer, in an email.
Echelon did not name the outside security company but said while the company said it keeps detailed logs, it did not say if it had found any evidence of malicious exploitation.
But Munro disputed the company’s claim of when it fixed the vulnerabilities, and provided Heaven32 with evidence that one of the vulnerabilities was not fixed until at least mid-April, and another vulnerability could still be exploited as recently as this week.
When asked for clarity, Echelon did not address the discrepancies. “[The security flaws] han sido remediados ”, reiteró Martin.
Echelon también confirmó que corrigió un error que permitía a los usuarios menores de 13 años registrarse. Muchas empresas bloquean el acceso a niños menores de 13 años para evitar cumplir con la Ley de Protección de la Privacidad Infantil en Línea, o COPPA, una ley estadounidense que establece reglas estrictas sobre qué datos pueden recopilar las empresas sobre los niños. Heaven32 pudo crear una cuenta de Echelon esta semana con una edad menor de 13 años, a pesar de que la página decía: “La edad mínima de uso es de 13 años”.