当前位置:首页 > 网站入侵 > 正文内容

Peloton 曝出 API 漏洞 用户私人账户数据可被任意获取

访客56年前 (1970-01-01)网站入侵858

居家健身品牌 Pelonton 以室内固定式自行车和跑步机而被人们所熟知,但近日却曝出了 300 万订阅用户个人资料可能失窃的一个严重漏洞。即使你将个人资料设置为私密,且没有任何好友,Pelonton 应用程序接口(API)的这个安全漏洞,还是允许任何人获取用户的私人账户数据。

Peloton 的客户群里有许多名人,甚至连美国现总统拜登也有一台。在售价 1800 美元的动感单车的基础上,该公司还提供了丰富的订阅选项,其中包括了各种各样的课程。

然而 Pen Test Partners 安全研究员 Jan Masters 发现,他竟然能够在未经身份验证的情况下,向 Peloton 的官方 API 提出可获取其它用户私人数据的请求,且用户的本地设备和云端服务器都如此不设防。

这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。

遗憾的是,尽管早在 2021 年 1 月 20 日就向 Peloton 通报了这个 API 漏洞,但该公司还是未能在 90 条的标准期限内完成 bug 修复。

除了最初收到的一封确认函,该公司后续的态度也相当消极,只将 API 访问权限设置为仅会员可用。对于攻击者来说,依然能够通过注册月度会员的形式,访问到其他人的各种私密信息。

庆幸的是,在漏洞曝光的压力下,Peloton 终于在近日完成了该漏洞的修复,同时回应称很难向安全人员介绍详细的补救措施。

展望未来,该公司将更积极地与安全研究社区合作,以在收到漏洞报告时作出更快的响应。

(消息及封面来源:cnBeta)

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32506.html

返回列表

没有更早的文章了...

下一篇:如何找回qq密码(手机号也停用了)

“Peloton 曝出 API 漏洞 用户私人账户数据可被任意获取” 的相关文章

哥斯达黎加政府部分网络系统因遭黑客攻击 仍处于关闭状态

截至当地时间4月22日,因遭到国际黑客攻击,哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示,哥斯达黎加不会向国际黑客组织妥协,目前有关部门正在加紧网络管理技术升级,加固网络安全,同时评估泄漏数据的规模和损失,与国际组织和公司合作,加紧恢复受损系统。...

NVIDIA 拒绝支付赎金后 威胁者利用代码签署恶意软件 可在 Windows 中加载

利用窃取过来的 NVIDIA 代码,威胁者利用签名证书来签署恶意软件,使其看起来值得信赖,并允许在 Windows 中加载恶意驱动程序。本周,NVIDIA 公司证实,他们遭受了一次网络攻击,使威胁者得以窃取员工的证书和专有数据。 对本次泄露事件负责的勒索集团 Lapsus$ 表示,他们已经窃取了...

Android 被爆安全漏洞 根源是苹果的无损音频编解码器

近日 Android 设备被爆存在安全漏洞,但根源来自于苹果的无损音频编解码器(ALAC)。目前,美国市场 95% 的 Android 设备来自于高通和联发科,安全公司 Check Point 指出尚未安装 2021 年 12 月 Android Security Patch 的设备都存在“Out-...

美政府提醒区块链行业警惕 Lazarus Group 加密货币木马应用程序

在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT...

疫情期间网络犯罪分子加大了攻击力度 首选支付方式是加密货币

利用新冠疫情,网络犯罪分子发起各种攻击而尽可能地牟利。欧盟网络安全机构 Enisa 强调,这类活动导致雇佣黑客在过去 15 个月中成为网络安全的最大威胁。 2020 年 4 月至 2021 年 7 月进行的研究的年度报告中,Enisa 表示 COVID-19 疫情期间观察到网络犯罪分子加大了针对潜在...

研究人员揭示 EV 充电站管理系统的脆弱性并提出保护建议

随着道路上电动汽车数量的增加,对电动汽车(EV)充电站和这些充电站内基于互联网的管理系统的需求也在增加。然而这些管理系统面临着自己的问题:网络安全攻击。 资料图 UTSA网络安全和分析中心主任Elias Bou-Harb及其同事–迪拜大学的Claud Fachkha和蒙特利尔康科迪亚大学的Tony...

评论列表

笙沉桔烟
3年前 (2022-06-26)

oton 的官方 API 提出可获取其它用户私人数据的请求,且用户的本地设备和云端服务器都如此不设防。这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。遗憾的是,尽管早在 2021 年 1 月 20 日就向 Pelo

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。