Di pertengahan hari Senin saya latihan sore minggu lalu, saya mendapat pesan dari peneliti keamanan dengan tangkapan layar data akun Peloton saya.
Profil Peloton saya disetel ke pribadi dan daftar teman saya sengaja nol, jadi tidak ada yang bisa melihat profil, usia, kota, atau riwayat olahraga saya. Tetapi bug memungkinkan siapa pun untuk menarik data akun pribadi pengguna langsung dari server Peloton, bahkan dengan profil mereka disetel ke pribadi.
Peloton, merek kebugaran di rumah yang identik dengan sepeda statis dalam ruangan dan treadmill yang terkepung, memiliki lebih dari tiga juta pelanggan. Bahkan Presiden Biden dikatakan memilikinya. Sepeda olahraga saja berharga lebih dari $1.800, tetapi siapa pun dapat mendaftar untuk berlangganan bulanan untuk mengikuti berbagai macam kelas.
Saat Biden dilantik (dan Peloton-nya dipindahkan ke Gedung Putih — dengan asumsi Secret Service mengizinkannya), Jan Masters, seorang peneliti keamanan di Pen Test Partners, menemukan bahwa dia dapat membuat permintaan yang tidak diautentikasi ke API Peloton untuk data akun pengguna tanpa harus diperiksa. pastikan orang tersebut diizinkan untuk memintanya. (Sebuah API memungkinkan dua hal untuk berbicara satu sama lain melalui internet, seperti sepeda Peloton dan server perusahaan yang menyimpan data pengguna.)
Tetapi API yang terbuka memungkinkannya — dan siapa pun di internet — mengakses usia, jenis kelamin, kota, berat badan, statistik olahraga pengguna Peloton, dan jika itu adalah hari ulang tahun pengguna, detail yang disembunyikan saat halaman profil pengguna disetel ke pribadi .
Masters melaporkan API yang bocor ke Peloton pada 20 Januari dengan tenggat waktu 90 hari untuk memperbaiki bug, waktu jendela standar yang diberikan peneliti keamanan kepada perusahaan untuk memperbaiki bug sebelum rinciannya dipublikasikan.
Tapi tenggat waktu itu datang dan pergi, bug belum diperbaiki dan Masters belum mendengar kabar dari perusahaan, selain dari email awal yang mengakui penerimaan laporan bug. Sebaliknya, Peloton hanya membatasi akses ke API-nya untuk para anggotanya. Tapi itu berarti siapa pun dapat mendaftar dengan keanggotaan bulanan dan mendapatkan akses ke API lagi.
TechCrunch menghubungi Peloton setelah tenggat waktu berakhir untuk menanyakan mengapa laporan kerentanan diabaikan, dan Peloton mengkonfirmasi kemarin bahwa kerentanan telah diperbaiki. (TechCrunch menyimpan cerita ini hingga bug diperbaiki untuk mencegah penyalahgunaan.)
Juru bicara Peloton Amelise Lane memberikan pernyataan berikut:
Merupakan prioritas bagi Peloton untuk menjaga keamanan platform kami dan kami selalu berupaya meningkatkan pendekatan dan proses kami untuk bekerja dengan komunitas keamanan eksternal. Melalui program Pengungkapan Kerentanan Terkoordinasi kami, seorang peneliti keamanan memberi tahu kami bahwa dia dapat mengakses API kami dan melihat informasi yang tersedia di profil Peloton. Kami mengambil tindakan, dan menangani masalah berdasarkan kiriman awalnya, tetapi kami lambat dalam memberi tahu peneliti tentang upaya perbaikan kami. Ke depan, kami akan melakukan yang lebih baik untuk bekerja secara kolaboratif dengan komunitas riset keamanan dan merespons lebih cepat ketika kerentanan dilaporkan. Kami ingin berterima kasih kepada Ken Munro karena mengirimkan laporannya melalui program CVD kami dan terbuka untuk bekerja sama dengan kami untuk menyelesaikan masalah ini.
Sejak saat itu, Masters memasang posting blog yang menjelaskan kerentanan secara lebih rinci.
Munro, yang mendirikan Pen Test Partners, mengatakan kepada TechCrunch: “Peloton mengalami sedikit kegagalan dalam menanggapi laporan kerentanan, tetapi setelah dorongan ke arah yang benar, mengambil tindakan yang tepat. Program pengungkapan kerentanan bukan hanya halaman di situs web; itu membutuhkan tindakan terkoordinasi di seluruh organisasi.
Tapi pertanyaan tetap untuk Peloton. Ketika ditanya berulang kali, perusahaan menolak mengatakan mengapa tidak menanggapi laporan kerentanan Masters. Juga tidak diketahui apakah ada orang yang dengan jahat mengeksploitasi kerentanan, seperti pengikisan data akun secara massal.
Facebook, LinkedIn, dan Clubhouse semuanya menjadi korban serangan scraping yang menyalahgunakan akses ke API untuk menarik data tentang pengguna di platform mereka. Tetapi Peloton menolak untuk mengonfirmasi apakah ia memiliki log untuk mengesampingkan eksploitasi berbahaya dari API yang bocor.
