La fuga de datos hace que el día horrible, malo y realmente malo de Peloton sea aún peor

La fuga de datos hace que el día horrible, malo y realmente malo de Peloton sea aún peor

Pelotón

Peloton está teniendo un día difícil. Primero, la compañía retiró dos modelos de cintas de correr luego de la muerte de un niño de 6 años que fue colocado debajo de uno de los dispositivos. Ahora llega la noticia de que Peloton expuso datos confidenciales del usuario, incluso después de que la compañía se enteró de la filtración. No es de extrañar que el precio de las acciones de la compañía cerrara hasta un 15 por ciento el miércoles.

Peloton ofrece una línea de bicicletas estáticas y cintas de correr conectadas a la red. La compañía también ofrece un servicio en línea que permite a los usuarios unirse a clases, trabajar con entrenadores o hacer entrenamientos con otros usuarios. En octubre, Peloton dijo a los inversores que tenía un comunidad de 3 millones de miembros. Los miembros pue den configurar las cuentas para que sean públicas para que sus amigos puedan ver detalles como las clases a las que asistieron y las estadísticas de entrenamiento, o los usuarios pueden elegir que los perfiles sean privados.

Sé dónde te ejercitaste el verano pasado

Investigadores de la consultora de seguridad Pen Test Partners informaron el miércoles que una falla en el servicio en línea de Peloton hacía que los datos de todos sus usuarios estuvieran disponibles para cualquier persona en cualquier parte del mundo, incluso cuando un perfil estaba configurado como privado. Todo lo que se requería era un poco de conocimiento de las interfaces de programación defectuosas que utiliza Peloton para transmitir datos entre los dispositivos y los servidores de la empresa.

Los datos expuestos incluyeron:

  • ID de usuario
  • ID de instructor
  • Membresía de grupo
  • Estadísticas de entrenamiento
  • Género y edad
  • Peso
  • Si están en el estudio o no

Ars acordó retener otro dato personal expuesto porque Peloton todavía está trabajando para protegerlo.

A entrada en el blog Pen Test Partners, publicado el miércoles, dijo que las API no requerían autenticación antes de proporcionar la información. Los investigadores de la compañía dijeron que informaron sobre la exposición a Peloton en enero y recibieron un reconocimiento de inmediato. Luego, decía la publicación del miércoles, Peloton se quedó en silencio.

Respuesta lenta, arreglo fallido

Dos semanas después, dijeron los investigadores, la compañía proporcionó silenciosamente una solución parcial. En lugar de proporcionar los datos del usuario sin necesidad de autenticación, las API hicieron que los datos estuvieran disponibles solo para aquellos que tenían una cuenta. El cambio fue mejor que nada, pero aún así permitió que cualquiera que se suscriba al servicio en línea obtenga detalles privados de cualquier otro suscriptor.

Cuando Pen Test Partners informó a Peloton de la solución inadecuada, dijeron que no obtuvieron respuesta. El investigador de Pen Text Partners, Ken Munro, dijo que llegó a buscar ejecutivos de empresas en LinkedIn. Los investigadores dijeron que la solución se produjo solo después de que el reportero de Heaven32 Zack Whittaker, quien informó por primera vez la fuga, preguntó al respecto.

“Estaba bastante enojado en este punto, pero pensé que valía la pena una última oportunidad antes de dejar caer un día 0 sobre los usuarios de Peloton”, me dijo Munro. “Le pedí a Zack W que se comunicara con su oficina de prensa. Eso tuvo un efecto milagroso: en cuestión de horas recibí un correo electrónico de su nuevo CISO, que era nuevo en el cargo y había investigado, encontré su respuesta bastante débil y tenía un plan para arreglar el insectos.”

Un representante de Peloton se negó a discutir el cronograma en el registro, pero proporcionó la siguiente respuesta enlatada:

Es una prioridad para Peloton mantener segura nuestra plataforma y siempre buscamos mejorar nuestro enfoque y proceso para trabajar con la comunidad de seguridad externa. A través de nuestro programa de divulgación coordinada de vulnerabilidades, un investigador de seguridad nos informó que pudo acceder a nuestra API y ver la información que está disponible en un perfil de Peloton. Tomamos medidas y abordamos los problemas en función de sus presentaciones iniciales, pero nos demoramos en informar al investigador sobre nuestros esfuerzos de remediación. En el futuro, haremos mejor en trabajar en colaboración con la comunidad de investigación de seguridad y responder más rápidamente cuando se reporten vulnerabilidades. Queremos agradecer a Ken Munro por enviar sus informes a través de nuestro programa de CVD y por estar dispuesto a trabajar con nosotros para resolver estos problemas.

El incidente es el último recordatorio de que los datos almacenados en línea a menudo son gratuitos, incluso cuando las empresas dicen que no lo es. Esto pone a la gente en un aprieto. Por un lado, compartir el peso, las estadísticas de entrenamiento y otros datos a menudo puede ayudar a los usuarios a aprovechar al máximo las sesiones de entrenamiento o los entrenamientos en grupo. Por el otro … bueno, ya sabes.

Por lo general, trato de falsificar o dejo incompleto gran parte de los datos que proporciono. La mayoría de los servicios que utilizo y que requieren una tarjeta de crédito aprobarán las compras sin problemas, incluso cuando proporcione un nombre, una dirección y un número de teléfono falsos. No tener esos detalles adjuntos a los nombres de usuario u otros datos a menudo puede minimizar el dolor de una fuga de datos como esta.

Actualizar: No estaba claro en el último párrafo, así que intentaré de nuevo. Los sitios generalmente tienen dos lugares donde solicitan su información. Un conjunto se almacena con los detalles de la cuenta de usuario. El otro es utilizado por el procesador de facturación. Mi cuenta de Amazon, por ejemplo, muestra mi nombre como Dang. Pero cuando proporcioné los datos de mi tarjeta de crédito, obviamente no proporcioné un nombre falso.

Lo mismo ocurre con HBO Max. Hay una pestaña para la información de la cuenta y una pestaña para la información de facturación. No veo ninguna razón por la que deba ingresar mi nombre real o completo en la pestaña de la cuenta. Por razones obvias, no falsifico información en la pestaña de facturación. Dicho esto, a menudo puedo salirse con la suya proporcionando información incompleta cuando proporciono información de facturación. Por ejemplo, la sección de facturación de muchos sitios me permite proporcionar solo el nombre de mi calle, pero no el número de mi casa, y solo las iniciales de mi nombre y apellido.

Mi razón fundamental para todo esto: los sitios generalmente almacenan datos de cuentas y datos de facturación en depósitos separados, y el depósito que contiene los datos de facturación parece estar mejor protegido. Las empresas de Internet tienen un historial terrible en la protección de los datos de los usuarios. Cuanto menos tengan de mí, mejor. Espero que estos detalles adicionales expliquen mejor cómo y por qué hago esto.

Leave a Reply

Your email address will not be published. Required fields are marked *