Peloton用户的私人数据,包括生日,位置,性别,体重和锻炼统计数据,由于泄漏应用程序编程界面,TechCrunch报道周三。API的错误是促进应用程序之间的通信的软件,使Peloton用户的信息容易受到类似于那些类似的数据刮攻击用于Facebook。Peloton表示,此错误已修复。
安全研究员最初发现了API漏洞,它允许他甚至在设置为私有的Peloton配置文件中访问用户数据。TechCrunch报道,研究人员在1月20日讲述了瑕疵的Peloton,但脆弱性仍未修复三个月后,在90天的宽限期之后,安全测试人员通常给公司来解决脆弱性。该出版物表示,在这次截止日期之后,它就问了Peloton为什么研究员的信息被忽略并被告知Bug已经处理过。
被要求对TechCrunch报告发表评论,Peloton Spokesperson在一份声明中表示,该公司与研究人员的沟通缺乏。
“这是Peloton保持平台的优先事项,我们一直希望提高我们与外部安全社区合作的方法和过程,”发言人说。“通过我们协调的漏洞泄露计划,安全研究员通知我们,他能够访问我们的API并查看在Peloton配置文件上提供的信息。我们采取了行动并根据他的初始提交来解决问题,但更新缓慢研究人员关于我们的修复努力。向前发展,我们将与安全研究界合作协同工作,并在报告漏洞时更迅速地回应。“
目前尚不清楚任何恶意演员是否在暴露时访问了个人信息。