Une faille de sécurité Peloton aurait permis à quiconque d’accéder aux données des utilisateurs

L’une des meilleures choses à propos de la possession d’un vélo Peloton est le fait que vos entraînements sont privés, mais plus tôt cette année, un chercheur en sécurité a découvert qu’il était possible de faire des demandes non authentifiées à l’API de l’entreprise pour accéder aux données de compte des utilisateurs Peloton.

Le chercheur en sécurité Jan Masters de la société de sécurité britannique Pen Test Partners a commencé à se pencher sur la sécurité de la marque de fitness à domicile au moment de l’inauguration du président Biden et a révélé qu’il prévoyait d’apporter son vélo Peloton à la Maison Blanche. Cependant, à l’époque, les experts en cybersécurité avaient averti que cela pourrait poser un risque pour la sécurité nationale et il semble maintenant qu’ils avaient peut-être raison.

Au cours de son enquête, Masters a découvert qu’en raison de l’API exposée de Peloton, il pouvait accéder aux identifiants d’utilisateur, aux identifiants d’instructeur, à l’adhésion au groupe, à l’emplacement, aux statistiques d’entraînement, au sexe et à l’âge des utilisateurs du programme d’adhésion en ligne de la société à partir de ses serveurs, même s’ils avait leur profil défini sur privé.

À la mi-janvier, Masters a rapporté ses découvertes à l’entreprise et leur a donné un délai de divulgation de 90 jours, comme le veut la norme de l’industrie, pour corriger le bogue qui permettait aux utilisateurs non authentifiés d’accéder aux données de compte des utilisateurs de Peloton.

API exposée

Lorsque le délai de 90 jours était venu et reparti avec juste un e-mail de Peloton reconnaissant qu’il avait vu le rapport de bogue, Masters a alors décidé de contacter TechCrunch qui a d’abord cassé l’histoire.

Bien que la société n’ait pas corrigé le bogue initial, elle a restreint l’accès à son API à ses membres. Cependant, cela signifiait que n’importe qui aurait pu s’inscrire à un abonnement numérique mensuel pour seulement 12,99 $ et accéder à l’API ainsi qu’aux données du compte utilisateur Peloton.

Depuis lors, Peloton a confirmé avec TechCrunch que la vulnérabilité est désormais corrigée. TechRadar Pro a également contacté la société et un porte-parole de Peloton a expliqué comment il prévoyait de travailler plus étroitement avec les chercheurs en sécurité dans le cadre de son programme de divulgation coordonnée des vulnérabilités à l’avenir, en déclarant:

«Le maintien de la sécurité de notre plate-forme est une priorité pour Peloton et nous cherchons toujours à améliorer notre approche et notre processus de collaboration avec la communauté de la sécurité externe. Grâce à notre programme de divulgation coordonnée des vulnérabilités, un chercheur en sécurité nous a informés qu’il était en mesure d’accéder à notre API et de voir les informations disponibles sur un profil Peloton. Nous avons pris des mesures et réglé les problèmes sur la base de ses soumissions initiales, mais nous avons tardé à informer le chercheur de nos efforts de correction. À l’avenir, nous ferons mieux de travailler en collaboration avec la communauté de recherche en sécurité et de réagir plus rapidement lorsque des vulnérabilités sont signalées. Nous tenons à remercier Ken Munro d’avoir soumis ses rapports via notre programme CVD et d’être disposé à travailler avec nous pour résoudre ces problèmes. »

Sources :

• pentestpartners.com