Peloton 曝出 API 漏洞 用户私人账户数据可被任意获取

居家健身品牌 Pelonton 以室内固定式自行车和跑步机而被人们所熟知，但近日却曝出了 300 万订阅用户个人资料可能失窃的一个严重漏洞。即使你将个人资料设置为私密，且没有任何好友，Pelonton 应用程序接口（API）的这个安全漏洞，还是允许任何人获取用户的私人账户数据。

http://hackernews.cc/wp-content/uploads/2021/05/025b8b5f52aa2f8.jpeg

Peloton 的客户群里有许多名人，甚至连美国现总统拜登也有一台。在售价 1800 美元的动感单车的基础上，该公司还提供了丰富的订阅选项，其中包括了各种各样的课程。

然而 Pen Test Partners 安全研究员 Jan Masters 发现，他竟然能够在未经身份验证的情况下，向 Peloton 的官方 API 提出可获取其它用户私人数据的请求，且用户的本地设备和云端服务器都如此不设防。

这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据，甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。

遗憾的是，尽管早在 2021 年 1 月 20 日就向 Peloton 通报了这个 API 漏洞，但该公司还是未能在 90 条的标准期限内完成 bug 修复。

除了最初收到的一封确认函，该公司后续的态度也相当消极，只将 API 访问权限设置为仅会员可用。对于攻击者来说，依然能够通过注册月度会员的形式，访问到其他人的各种私密信息。

庆幸的是，在漏洞曝光的压力下，Peloton 终于在近日完成了该漏洞的修复，同时回应称很难向安全人员介绍详细的补救措施。

展望未来，该公司将更积极地与安全研究社区合作，以在收到漏洞报告时作出更快的响应。

（消息及封面来源：cnBeta）