佩洛頓的資料洩露提醒你要隨時撒謊
佩洛頓遭遇資料洩露。好訊息是什麼?關於你的鍛煉習慣的資訊後來被外人隨意獲取,但並不是那麼糟糕。然而,佩洛頓的延遲反應更令人擔憂。
正如Pen-Test合作伙伴在最近的一篇博文中所描述的那樣,該公司以前使用的一些api可能會被任何經過身份驗證和未經身份驗證的使用者查詢到。後來該公司改變了這一規定,只允許使用前者,但考慮到任何對資料感興趣的人都可以簡單地註冊一個免費的Peloton帳戶,這並不是什麼保護措施。
至於攻擊者可以挖到什麼,可用的資料包括:
- User IDs
- Instructor IDs
- Group Membership
- Location
- Workout stats
- Gender and age
- If a person was in the studio or not
這很煩人,但並不可怕。如果攻擊者知道你做了多少工作,他們就無能為力了。但他們有可能利用這些資訊(單獨或與其他資料洩露提供的其他資訊相結合)向您傳送一次巧妙的網路釣魚嘗試。
令人倍感不安的是,Peloton花了多長時間才對這些(通常是開放的)api的報告作出回應。正如筆試夥伴所說:
- 20th January 2021: disclosed privately to Peloton, as per their [Vulnerability Disclosure Program].
- 20th January 2021: receipt acknowledged. This is the last we heard from Peloton.
- 22nd January 2021: we requested an update and offered assistance replicating the vulnerability. No resp***e.
- 2nd February 2021: unauthenticated API endpoint issue was silently and partly resolved – user data was now only available to all authenticated Peloton users. Er…?
- 2nd February 2021: we asked for an update, given the silent fix. No resp***e.
- After 90 days we asked a trusted journalist to speak to Peloton on our behalf.
他說,這名記者是TechCrunch自己的扎克·惠特克(Zack Whittaker),他最終發表了一篇關於Peloton的文章,這篇文章似乎最終引起了公司的註意,更重要的是,影響了變革。
作為一個安全/隱私愛好者,我發現看到事情發展到這樣的地步是令人沮喪的。雖然Peloton聲稱它從最初的漏洞提交以來就一直在採取行動,但奇怪的是,這些漏洞仍然是可利用的,直到科技界最大的出版物之一揭露了這個問題。佩洛頓還沒有證實或否認這些資料不是被外界集體竊取的,這一點更令人惱火。
這整集是不是讓你把你的Peloton腳踏車扔進垃圾桶了?不,那是一件昂貴的裝置。不過,我會留意未來Peloton資料洩露的訊息;你可能需要自己採取行動,而不是等待Peloton採取適當的披露步驟(和補救措施)。如果可能的話,您可能還需要考慮對資料進行模糊處理。如果你騎腳踏車(或慢跑)不需要它,那麼佩洛頓就沒有理由需要它,給他們一個假生日、地址、名字等等。你的運動夥伴不會介意的。
- 發表於 2021-05-11 17:23
- 閱讀 ( 42 )
- 分類:安全
你可能感興趣的文章
什麼是資料洩露?您如何保護自己?
...種特定型別的安全洩露。這是攻擊者成功訪問本不該訪問的資料的地方。通常,攻擊者會實現安全漏洞,然後竊取資料,導致資料漏洞。 ...
益百利黑暗網路掃描:你需要它,你能相信它嗎?
...有著非法活動的名聲,包括**線上賬戶,所以你想知道你的資訊是否在網上交易是有道理的。那麼益百利提供了什麼呢? ...
萬豪國際遭遇5億記錄資料洩露
...酒店集團(Marriott International hotel group)披露了一個巨大的資料洩露事件。自2014年以來,由於攻擊者訪問了萬豪國際喜達屋分部網路,據信多達5億條客戶記錄受到影響。 ...
如何應對資料洩露:3種保護資料的簡單方法
...。但是你能做些什麼呢?這裡有一些簡單的方法來保護您的資料免受資料洩露的威脅。 ...
5最近的資料洩露可能會使您的資料面臨風險
...生活傢俱的一部分。幾乎沒有一天沒有另一家公司洩露你的資料。儘管這些事件變得越來越普遍,但2018年其他一些事情也發生了變化。 ...
有史以來最嚴重的4次資料洩露
...開始大規模資料擴散以來,已經發生了4000多起引人注目的資料洩露事件,迄今為止,有近10億個人的資料被洩露或竊取。 ...
旅遊預訂網站遭遇海量資料洩露:如何保護自己?
...因為網站星球,誰暴露了資料洩露,還沒有審查所有暴露的資料,所以可能有更多。這也可能會影響其他規模較小或知名度較低的預訂網站,這些網站可能使用了流行的酒店預訂平臺。 ...
如何從mozilla的firefox監視器獲取資料洩露警報
...論如何使用Firefox的內建安全工具:一個名為Firefox Monitor的資料洩露監控服務。 什麼是firefox監視器(firefox monitor)? Firefox Monitor是Mozilla提供的一項服務,它與“我已經被授權”一起監視您的資料是否在網上資料洩露中被洩露。 Mo...
每日新聞綜述:又是一天,又是一次資料洩露(週末還有更多)
...卡號碼 跟上你不想聽的新聞的趨勢,最近一次持續10個月的資料洩露暴露了200萬伯爵企業餐廳顧客的信用卡資料。噢。 Earl Enterprise Restaurants是Planet Holywood和Mixology等機構的所有者,他證實了一個長達10個月的資料洩露事件,暴露...
如果你的密碼被洩露,谷歌新的chrome擴充套件會提醒你
我們已經到了一個新的資料洩露事件每週都會公佈的地步。這幾乎不可能跟上所有的漏洞和你的密碼情況,但一個新的Chrome擴充套件從谷歌在這裡提供幫助。 這個副檔名為密碼檢查(passwordcheckup),它監視您的登入憑據(使用...
