如果您是一名运动员,您可能熟悉名为 Peloton 的提供商。除了提供家用固定自行车外,Peloton 还直接销售订阅系统,让您可以在家中参加各种运动课程。该服务目前拥有超过 300 万订阅者,这就是为什么现在暴露的安全漏洞比您想象的更严重。
据 Techcrunch报道,安全研究人员在一月份发现,他们可以访问 Peloton 的 API 并访问其他成员的私人用户数据,而无需任何额外的检查。该帐户是否设置为“私人”并不重要。
安全研究人员立即就该事件联系了 Peloton,但由于未能在 90 天的期限内修复错误,该公司现在才发布该信息。利用该 API,他和其他攻击者(Peloton 拒绝评论此类攻击是否已经发生)可以完成获取用户的年龄、性别、位置、体重、训练统计数据等。
该公司的回应是只允许按月付费的会员访问 API。然而,他们仍然可以完全访问上述数据。现在,据说这个差距已经完全消除,这意味着 API 不再允许未经授权的访问该数据。我想知道为什么该公司花了这么长时间不仅提供了一个蹩脚的解决方案,而且实际上缩小了差距。
