Peloton hüllt sich in Schweigen, keine Angaben zur Ausnutzung einer Schwachstelle

0

Eine undichte API von Peloton ermöglichte es jedem, die privaten Kontodaten von Nutzern abzugreifen. Das Unternehmen sagt aber nichts dazu, ob es Hinweise für eine böswillige Ausnutzung gab. Ein Sicherheitsforscher wies auf die Schwachstelle hin, Antworten gab es nach der eigentlichen Frist von 90 Tagen – jedoch nicht zu allen Fragen. 

 

Schwachstelle in Peloton API – Es ist unklar, ob die Daten missbraucht werden konnten

Wie TechCrunch berichtet, gab es eine Schwachstelle in der API von Peloton, bei dem es jedem möglich war, private Nutzerdaten über die API abzufragen. Der größte Fauxpas hierbei: man musste noch nicht einmal angemeldet sein, das ging alles anonym. Unter private Nutzerdaten ist das Profil mit Angaben zu Alter, Stadt und natürlich auch die Trainingsdaten und einiges mehr zu verstehen.

Wer sich fragt, wer oder was ist eigentlich Peloton: Peloton hat ein stationäres Indoor-Bike und ein Laufband, welches erst kürzlich mit einem Rückruf in den Schlagzeilen auftauchte (wir berichteten). Peloton hat mehr als drei Millionen Abonnenten.

Peloton Schwachstelle – Diese Daten waren einsehbar

Jan Masters, ein Sicherheitsforscher bei Pen Test Partners,  fand seinerzeit heraus, dass er unauthentifizierte Anfragen an die API von Peloton für Benutzerkontodaten stellen konnte, ohne dass überprüft wurde, ob die eine Berechtigung dafür zu besitzen, diese anzufordern. Er hing sich also damit zwischen das Indoor Bike und einen Server von Peloton, um hier Daten anzufordern.

Hier fand Masters heraus, dass es ihm und jedem anderen im Internet möglich war, auf Daten wie Alter, Geschlecht, Stadt, Gewicht, Trainingsstatistiken. Falls der Benutzer gerade noch Geburtstag hat, dann auf weitere Details, die normalerweise verborgen sind wenn die Profilseite auf privat eingestellt wurde.

Masters meldete die undichte API am 20. Januar an Peloton mit einer 90-Tage-Frist, um den Fehler zu beheben. Dies ist das Standard-Zeitfenster, welches Sicherheitsforscher Unternehmen geben, um Fehler zu beheben bevor Details öffentlich gemacht werden.

Zu langsame Reaktionszeit

Als die 90-Tage-Frist abgelaufen war, hatte Masters keine Antwort zur Schwachstelle erhalten, lediglich eine Eingangsbestätigung. Peloton hatte jedoch die API zu diesem Zeitpunkt zumindest so angepasst, das nur noch authentifizierte Mitglieder anfragen starten konnten. Trotzdem blieb es damit weiterhin eine Schwachstelle, denn auch andere Abo Mitglieder sollen keinen Zugriff auf private Profile anderer Zugriff haben!

TechCrunch kontaktierte Peloton nach Ablauf der Frist, um zu fragen, warum der Bericht über die Sicherheitslücke ignoriert wurde. Peloton bestätigte daraufhin, dass die Sicherheitslücke bereits behoben wurde. Die Peloton-Sprecherin schrieb, dass Peloton generell bestrebt sei, die Plattform sicher zu halten und Prozesse für die Zusammenarbeit mit externen zu verbessern. Sie räumte aber auch Fehler bei der Kommunikation und den eigentlichen Prozessen ein. Hier wurde wohl erst am Bug gearbeitet und anschließend zu langsam mit dem Sicherheitsforscher kommuniziert.

Aber es bleiben Fragen für Peloton. Auf wiederholte Nachfrage weigerte sich das Unternehmen zu sagen, warum es nicht auf Masters Bericht über die Sicherheitslücke reagiert hatte. Es ist auch nicht bekannt, ob jemand die Schwachstellen böswillig ausgenutzt hat, z. B. durch massenhaftes Abgreifen von Kontodaten.

Wenn ihr euch zu dem Thema austauschen wollt, schaut doch mal in unserer Gruppe „Sport & Fitness Zuhause – Smarte Geräte machen’s möglich!“ auf Facebook vorbei. Dort findet ihr eine riesige Community, die sich übergreifend mit smarten Themen beschäftigt!



Hinterlasse uns einen Kommentar

Mit der Nutzung dieses Formulars, erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Weitere Informationen kannst du der Datenschutzerklärung entnehmen.