Kredit Gambar: Eselon (gambar stok)
Peloton bukan satu-satunya raksasa olahraga di rumah yang mengungkap data akun pribadi. Raksasa latihan saingan Eselon juga memiliki API bocor yang memungkinkan hampir semua orang mengakses informasi akun pengendara.
Perusahaan teknologi kebugaran Eselon, seperti Peloton, menawarkan serangkaian perangkat keras olahraga — sepeda, pendayung, dan treadmill — sebagai alternatif yang lebih murah bagi anggota untuk berolahraga di rumah. Aplikasinya juga memungkinkan anggota bergabung dengan kelas virtual tanpa memerlukan peralatan olahraga.
Tetapi Jan Masters, seorang peneliti keamanan di Pen Test Partners, menemukan bahwa API Eselon memungkinkannya untuk mengakses data akun — termasuk nama, kota, usia, jenis kelamin, nomor telepon, berat badan, ulang tahun, dan statistik serta riwayat latihan — dari anggota lain di kelas langsung atau pra-rekaman. API juga mengungkapkan beberapa informasi tentang peralatan olahraga anggota, seperti nomor serinya.
Masters, jika Anda ingat, menemukan bug serupa dengan API Peloton, yang memungkinkan dia membuat permintaan yang tidak diautentikasi dan menarik data akun pengguna pribadi langsung dari server Peloton tanpa pernah diperiksa oleh server untuk memastikan dia (atau siapa pun) diizinkan untuk memintanya.
API Eselon memungkinkan perangkat dan aplikasi anggotanya untuk berbicara dengan server Eselon melalui internet. API seharusnya memeriksa apakah perangkat anggota diizinkan untuk menarik data pengguna dengan memeriksa token otorisasi. Tapi Masters mengatakan token itu tidak diperlukan untuk meminta data.
Masters juga menemukan bug lain yang memungkinkan anggota menarik data anggota lain karena kontrol akses yang lemah pada API. Masters mengatakan bug ini memudahkan untuk menghitung ID akun pengguna dan mengikis data akun dari server Eselon. Facebook, LinkedIn, Peloton, dan Clubhouse semuanya telah menjadi korban serangan scraping yang menyalahgunakan akses ke API untuk menarik data tentang pengguna di platform mereka.
Ken Munro, pendiri Pen Test Partners, mengungkapkan kerentanan terhadap Eselon pada 20 Januari melalui pesan langsung Twitter, karena perusahaan tidak memiliki proses pengungkapan kerentanan yang dihadapi publik (yang dikatakan sekarang “sedang ditinjau”). Tetapi para peneliti tidak mendengar kabar selama 90 hari setelah laporan diserahkan, jumlah waktu standar yang diberikan peneliti keamanan kepada perusahaan untuk memperbaiki kelemahan sebelum rinciannya dipublikasikan.
TechCrunch meminta komentar dari Echelon, dan diberi tahu bahwa kelemahan keamanan yang diidentifikasi oleh Masters – yang dia tulis di postingan blog – telah diperbaiki pada bulan Januari.
“Kami menyewa layanan luar untuk melakukan uji penetrasi sistem dan mengidentifikasi kerentanan. Kami telah mengambil tindakan yang tepat untuk memperbaikinya, yang sebagian besar diterapkan paling lambat 21 Januari 2021. Namun, posisi Eselon adalah User ID bukan PII [personally identifiable information]”kata Chris Martin, kepala petugas keamanan informasi Eselon, melalui email.
Eselon tidak menyebutkan nama perusahaan keamanan luar tersebut tetapi mengatakan meskipun perusahaan tersebut mengatakan menyimpan catatan terperinci, tidak disebutkan apakah mereka telah menemukan bukti eksploitasi berbahaya.
Tetapi Munro membantah klaim perusahaan ketika memperbaiki kerentanan, dan memberi TechCrunch bukti bahwa salah satu kerentanan tidak diperbaiki hingga setidaknya pertengahan April, dan kerentanan lain masih dapat dieksploitasi hingga minggu ini.
Saat dimintai kejelasan, Eselon tak menjawab perbedaan tersebut. “[The security flaws] telah diperbaiki, ”Martin mengulangi.
Eselon juga mengonfirmasi telah memperbaiki bug yang memungkinkan pengguna di bawah usia 13 tahun untuk mendaftar. Banyak perusahaan memblokir akses ke anak-anak di bawah usia 13 tahun untuk menghindari kepatuhan terhadap Children’s Online Privacy Protection Act, atau COPPA, undang-undang AS yang menetapkan aturan ketat tentang data yang dapat dikumpulkan perusahaan tentang anak-anak. TechCrunch dapat membuat akun Eselon minggu ini dengan usia kurang dari 13 tahun, meskipun halaman tersebut mengatakan: “Usia penggunaan minimum adalah 13 tahun.”
