居家健身品牌 Pelonton 以室内固定式自行车和跑步机而被人们所熟知,但近日却曝出了 300 万订阅用户个人资料可能失窃的一个严重漏洞。即使你将个人资料设置为私密,且没有任何好友,Pelonton 应用程序接口(API)的这个安全漏洞,还是允许任何人获取用户的私人账户数据。
Peloton 的客户群里有许多名人,甚至连美国现总统拜登也有一台。在售价 1800 美元的动感单车的基础上,该公司还提供了丰富的订阅选项,其中包括了各种各样的课程。
然而 Pen Test Partners 安全研究员 Jan Masters 发现,他竟然能够在未经身份验证的情况下,向 Peloton 的官方 API 提出可获取其它用户私人数据的请求,且用户的本地设备和云端服务器都如此不设防。
这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。
遗憾的是,尽管早在 2021 年 1 月 20 日就向 Peloton 通报了这个 API 漏洞,但该公司还是未能在 90 条的标准期限内完成 bug 修复。
除了最初收到的一封确认函,该公司后续的态度也相当消极,只将 API 访问权限设置为仅会员可用。对于攻击者来说,依然能够通过注册月度会员的形式,访问到其他人的各种私密信息。
庆幸的是,在漏洞曝光的压力下,Peloton 终于在近日完成了该漏洞的修复,同时回应称很难向安全人员介绍详细的补救措施。
展望未来,该公司将更积极地与安全研究社区合作,以在收到漏洞报告时作出更快的响应。
(消息及封面来源:cnBeta)
宾夕法尼亚州立大学和卡塔尔哈马德-本-哈利法大学的研究人员表示,推特上的推文所表达的情绪和情感可以被实时用来评估大流行病、战争或自然灾害供应链中断可能导致的粮食短缺。 他们发现,在COVID-19大流行的早期,在美国某些州,表达愤怒、厌恶或恐惧的与食品安全有关的推文与实际的食品不足密切相关。研究人员...
在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上,两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家,Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。此前这对搭档曾于 2012、2018 和 2021 年创下...
据Techspot报道,乌克兰国家安全局(SBU)宣布,自俄罗斯入侵该国以来,该机构已发现并关闭了5个运营10万个社交媒体账户的机器人农场,这些账户传播与入侵有关的假新闻。 SBU在一份新闻稿中写道,这些农场位于包括哈尔科夫、切尔卡瑟、捷尔诺皮尔和外喀尔巴阡在内的地区,被用于 “大规模信息破坏”,...
利用窃取过来的 NVIDIA 代码,威胁者利用签名证书来签署恶意软件,使其看起来值得信赖,并允许在 Windows 中加载恶意驱动程序。本周,NVIDIA 公司证实,他们遭受了一次网络攻击,使威胁者得以窃取员工的证书和专有数据。 对本次泄露事件负责的勒索集团 Lapsus$ 表示,他们已经窃取了...
尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的,但他们散播的成品也并非毫无破绽。比如近日,安全研究人员 John Page(又名 hyp3rlinx)就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知,John Page 专精于找到恶意软件本身的漏洞,并于近日分...
一项新研究表明,2021 年通过勒索软件攻击方式牟取的所有资金中有 74% 流向了俄罗斯有关的黑客手中。研究人员说,价值超过 4 亿美元的加密货币支付给了“极有可能与俄罗斯有关联”的团体。研究人员还称,大量基于加密货币的洗钱活动是通过俄罗斯加密公司进行。 这项研究是由 Chainalysi...