当前位置:首页 > 网站入侵 > 正文内容

Peloton 曝出 API 漏洞 用户私人账户数据可被任意获取

访客56年前 (1970-01-01)网站入侵876

居家健身品牌 Pelonton 以室内固定式自行车和跑步机而被人们所熟知,但近日却曝出了 300 万订阅用户个人资料可能失窃的一个严重漏洞。即使你将个人资料设置为私密,且没有任何好友,Pelonton 应用程序接口(API)的这个安全漏洞,还是允许任何人获取用户的私人账户数据。

Peloton 的客户群里有许多名人,甚至连美国现总统拜登也有一台。在售价 1800 美元的动感单车的基础上,该公司还提供了丰富的订阅选项,其中包括了各种各样的课程。

然而 Pen Test Partners 安全研究员 Jan Masters 发现,他竟然能够在未经身份验证的情况下,向 Peloton 的官方 API 提出可获取其它用户私人数据的请求,且用户的本地设备和云端服务器都如此不设防。

这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。

遗憾的是,尽管早在 2021 年 1 月 20 日就向 Peloton 通报了这个 API 漏洞,但该公司还是未能在 90 条的标准期限内完成 bug 修复。

除了最初收到的一封确认函,该公司后续的态度也相当消极,只将 API 访问权限设置为仅会员可用。对于攻击者来说,依然能够通过注册月度会员的形式,访问到其他人的各种私密信息。

庆幸的是,在漏洞曝光的压力下,Peloton 终于在近日完成了该漏洞的修复,同时回应称很难向安全人员介绍详细的补救措施。

展望未来,该公司将更积极地与安全研究社区合作,以在收到漏洞报告时作出更快的响应。

(消息及封面来源:cnBeta)

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32506.html

返回列表

没有更早的文章了...

下一篇:如何找回qq密码(手机号也停用了)

“Peloton 曝出 API 漏洞 用户私人账户数据可被任意获取” 的相关文章

乌克兰安全局宣称逮捕了协助俄军开展通讯中继服务的黑客

Vice 报道称,在最近一次行动中,乌克兰安全局(SBU)声称抓获了一名在乌境内为俄军提供通信服务的黑客。在当天上午 10 点发布的推文和电报消息中,SBU 分享了本次行动的诸多细节。尽管尚未得到另一独立消息源的证实,但我们已经看到了面部打码的黑客、以及所谓的通信系统照片。 电报帖子指出,黑客...

NVIDIA 拒绝支付赎金后 威胁者利用代码签署恶意软件 可在 Windows 中加载

利用窃取过来的 NVIDIA 代码,威胁者利用签名证书来签署恶意软件,使其看起来值得信赖,并允许在 Windows 中加载恶意驱动程序。本周,NVIDIA 公司证实,他们遭受了一次网络攻击,使威胁者得以窃取员工的证书和专有数据。 对本次泄露事件负责的勒索集团 Lapsus$ 表示,他们已经窃取了...

去年恶意勒索资金中有 74% 流向了俄罗斯有关黑客手中

一项新研究表明,2021 年通过勒索软件攻击方式牟取的所有资金中有 74% 流向了俄罗斯有关的黑客手中。研究人员说,价值超过 4 亿美元的加密货币支付给了“极有可能与俄罗斯有关联”的团体。研究人员还称,大量基于加密货币的洗钱活动是通过俄罗斯加密公司进行。 这项研究是由 Chainalysi...

未打补丁的 Exchange 服务器遭 Hive 勒索攻击 逾期就公开数据

虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击,被黑客获得了系统权限。 在攻击获得系统权限之后,该勒索软件就会通过 PowerSh...

[网络研讨会]非多即善: 解决告警过载

Hackernews 编译,转载请注明出处: 网络攻击的数量和复杂程度日益增加,自然而然地促使许多公司使用更多的网络安全技术。我们知道加强威胁检测能力对于保护是必要的,但是他们也导致了几个意外后果。“越多并不总是越好”的格言非常适合这种情况。 网络安全公司 Cynet 即将举行的一...

三星手机被曝重大漏洞 运行 Android 9 至 12 的所有机型均受影响

4月6日消息,安全公司Kryptowire警告说,三星的各种设备都容易受到重大安全漏洞的影响,该漏洞允许黑客接管设备。Kryptowire制作移动应用安全测试(MAST),这是一种扫描漏洞以及安全和隐私问题的工具。 据该公司称,它发现了一个漏洞(CVE-2022-22292),该漏洞可能允许黑客采...

评论列表

笙沉桔烟
3年前 (2022-06-26)

oton 的官方 API 提出可获取其它用户私人数据的请求,且用户的本地设备和云端服务器都如此不设防。这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。遗憾的是,尽管早在 2021 年 1 月 20 日就向 Pelo

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。