Peneliti keamanan mengatakan raksasa latihan di rumah Peloton dan saingan terdekatnya Eselon tidak menghapus foto profil yang diunggah pengguna dari metadata mereka, dalam beberapa kasus memperlihatkan data lokasi pengguna di dunia nyata.
Hampir setiap file, foto, atau dokumen berisi metadata, yaitu data tentang file itu sendiri, seperti seberapa besar, kapan dibuat, dan oleh siapa. Foto dan video sering kali juga menyertakan lokasi pengambilannya. Data lokasi tersebut membantu layanan online memberi tag pada foto atau video Anda bahwa Anda pernah berada di restoran ini atau tempat terkenal lainnya.
Tetapi layanan online tersebut — terutama platform sosial, tempat Anda melihat foto profil orang — seharusnya menghapus data lokasi dari metadata file sehingga pengguna lain tidak dapat mengetahui di mana Anda berada, karena data lokasi dapat mengungkapkan di mana Anda tinggal, di mana Anda bekerja, ke mana Anda pergi dan siapa yang Anda lihat.
Jan Masters, seorang peneliti keamanan di Pen Test Partners, menemukan paparan metadata sebagai bagian dari pandangan yang lebih luas pada API bocor Peloton. TechCrunch memverifikasi bug dengan mengunggah foto profil dengan koordinat GPS kantor kami di New York, dan memeriksa metadata file saat berada di server.
Bug tersebut dilaporkan secara pribadi ke Peloton dan Echelon.
Peloton memperbaiki masalah API-nya awal bulan ini tetapi mengatakan perlu lebih banyak waktu untuk memperbaiki bug metadata dan menghapus foto profil yang ada dari data lokasi mana pun. Seorang juru bicara Peloton mengonfirmasi bahwa bug telah diperbaiki minggu lalu. Eselon memperbaiki versi bugnya awal bulan ini. Tetapi TechCrunch menyimpan laporan ini sampai kami mendapat konfirmasi bahwa kedua perusahaan telah memperbaiki bug dan metadata telah dihapus dari foto profil lama.
Tidak diketahui berapa lama bug itu ada atau apakah ada yang mengeksploitasinya dengan jahat untuk mengikis informasi pribadi pengguna. Salinan apa pun, baik yang di-cache atau di-scrape, dapat menimbulkan risiko privasi yang signifikan bagi pengguna yang lokasinya mengidentifikasi alamat rumah, tempat kerja, atau lokasi pribadi lainnya.
Parler terkenal tidak menggosok metadata dari foto yang diunggah pengguna, yang mengungkap lokasi jutaan pengguna saat pengarsip mengeksploitasi kelemahan pada API platform untuk mengunduh seluruh kontennya. Yang lain lambat dalam mengadopsi pengupasan metadata, seperti Slack, meskipun pada akhirnya sampai di sana.
Baca selengkapnya:
