Peloton: Nutzerdaten standen offen im Netz

Sicherheit (Pexels, allgemeine Nutzung)Sportgerätehersteller Peloton wird momentan schon arg gebeutelt. Erst gab es vor einigen Wochen eine Diskussion um die Sicherheit von Peloton-Laufbändern. Ein Video, in dem ein Kleinkind unter ein Laufband geriet und regelrecht unter das Gerät gezogen wurde, ging viral. Nun kommt heraus, dass Nutzerdaten des Abo-Diensts Tour de Peloton problemlos durch Dritte über eine API eingesehen werden konnten.


Anzeige

Peloton ist ein US-amerikanisches Unternehmen für Fitnessgeräte und Medien, das 2012 gegründet wurde und 2013 mit Hilfe einer Finanzierungskampagne auf Kickstarter.com ins Leben gerufen wurde. Das Unternehmen hat seinen Hauptsitz in New York. Zu den Hauptprodukten des Unternehmens gehören Trainingsgeräte, die es den Benutzern ermöglichen, per Fernzugriff an Kursen teilzunehmen, die von Fitnessstudios des Unternehmens aus gestreamt werden. Für diese müssen Nutzer für einen monatlichen Abonnementdienst bezahlen. In diesem Video ist der Vorfall mit einem 2 Jahre alten Kleinkind, welches vom Laufband eingezogen wurde, zu sehen.  Vor wenigen Stunden wurde der Rückruf der Peleton-Laufbänder bekannt, nachdem ein Kleinkind tödlich mit so einem Gerät verunglückte.

Pen Test Partner berichten hier aber von etwas anderem, nämlich über eine Sicherheitslücke in der Software Tour de Peloton, über die Daten der Benutzer von Unbefugten abgerufen werden konnten. Peloton hat mehr als drei Millionen Abonnenten für seine Fitness-Dienste. Sogar Präsident Biden soll eines dieser Fitness-Laufbänder, die mehr als 1.800 Dollar kosten,  besitzen. Jeder Benutzer kann ein monatliches Abonnement abschließen, um an einer breiten Palette von Kursen teilzunehmen.

Als Biden sein Amt als US-Präsident antrat und sein Peloton ins Weiße Haus umzog, fand Jan Masters, ein Sicherheitsforscher bei Pen Test Partners, heraus, dass er unauthentifizierte Anfragen an die API von Peloton für Benutzerkontodaten stellen konnte. Es wurde nicht überprüft, ob die Person berechtigt war, diese anzufordern. So konnte er per Internet auf das Alter, Geschlecht, Stadt, Gewicht, Trainingsstatistiken und, falls der Benutzer Geburtstag hatte, auf Details, die verborgen sind, wenn die Profilseiten der Benutzer auf privat eingestellt sind, zugreifen.

Masters meldete dieses Datenschutzproblem am 20. Januar an Peloton und gab diesen eine 90-Tage-Frist, um den Fehler zu beheben. Peloton ließ diese Frist verstreichen, ohne den Fehler zu beheben. Masters bekam, abgesehen von einer ersten E-Mail, die den Empfang des Bug-Reports bestätigte, auch keine Rückmeldung von der Firma. Stattdessen beschränkte Peloton den Zugriff auf seine API nur auf seine Mitglieder. Das bedeutete aber nur, dass sich jeder mit einer monatlichen Mitgliedschaft anmelden und wieder Zugriff auf die API bekommen konnte.

Erst als das Techmagazin Techcrunch Peloton kontaktierte, tat sich etwas. Wie das Medium hier schreibt, bestätigte Peloton  erst auf Nachfrage, dass der Fehler behoben sei. Peloton-Sprecherin Amelise Lane gab folgende Erklärung ab:

Es ist eine Priorität für Peloton, unsere Plattform sicher zu halten, und wir sind immer bestrebt, unseren Ansatz und unseren Prozess für die Zusammenarbeit mit der externen Sicherheitsgemeinschaft zu verbessern. Über unser Coordinated Vulnerability Disclosure-Programm hat uns ein Sicherheitsforscher informiert, dass er auf unsere API zugreifen und Informationen einsehen konnte, die auf einem Peloton-Profil verfügbar sind. Wir haben Maßnahmen ergriffen und die Probleme auf der Grundlage seiner ersten Eingaben behoben, aber wir haben den Forscher nur langsam über unsere Abhilfemaßnahmen informiert. In Zukunft werden wir besser mit der Sicherheitsforschungsgemeinschaft zusammenarbeiten und schneller reagieren, wenn Schwachstellen gemeldet werden. Wir möchten Ken Munro dafür danken, dass er seine Berichte über unser CVD-Programm eingereicht hat und bereit war, mit uns an der Behebung dieser Probleme zu arbeiten.

Also auch hier wieder der Fall, dass der Hersteller erst auf Nachfrage der Presse reagiert. Details lassen sich in den beiden verlinkten Beiträgen nachlesen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenschutz, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Peloton: Nutzerdaten standen offen im Netz

  1. Markus Köln sagt:

    Nomen non est omen:
    https://de.wikipedia.org/wiki/Erschie%C3%9Fung#Erschie%C3%9Fung_durch_Peloton
    aber (ebenfalls von Wikipedia):
    "Peloton (Französisch: ‚kleiner Haufen' vom lateinischen pila ‚Ball', ‚Knäuel') bezeichnet bei der französischen Armee eine Truppeneinheit vergleichbar einem Zug bei deutschsprachigen Armeen, mit etwa 30 bis 40 Soldaten. (…) Auch in anderen Ländern wurde der Begriff verwendet und bezeichnete dabei eine kleinere Truppeneinheit unterhalb Kompaniestärke, die meist mehrere Züge oder Rotten von Fußsoldaten umfasste. Aus dem Wort Peloton leitet sich der Begriff Platoon, der in anglophonen Streitkräften für einen militärischen Zug steht, ab. "

    • 1ST1 sagt:

      Ich denke bei Peleton vor allem an Radrennen, an eine kleine Gruppe Radrennfahrer, die sich vom Hauptfeld abgesetzt hat, und innerhalb dessen meistens der Sieger der Etappe ist, wenn er nicht sogar dem Peleton davon gefahren ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.