Echelon раскрыл данные аккаунтов гонщиков благодаря утечке API

Кредиты изображения: Эшелон (стоковое изображение)

Peloton был не единственным гигантом тренировок дома Раскрыть данные личного аккаунта. У конкурирующего тренировочного гиганта Echelon также была утечка API, позволяющая любому получить доступ к информации учетной записи гонщика.

Компания Echelon, занимающаяся технологиями фитнеса, как и Peloton, предлагает ряд тренажеров – велосипеды, гребные тренажеры и беговые дорожки – в качестве более дешевой альтернативы для своих членов для занятий дома. Приложение также позволяет участникам присоединяться к виртуальным классам без использования оборудования для упражнений.

Но Ян Мастерс, исследователь безопасности в Pen Test Partners, обнаружил, что API Echelon позволяет ему получить доступ к данным учетной записи, включая имя, город, возраст, пол, номер телефона, вес, дату рождения, статистику упражнений и дату – для любого другого участника. живого занятия или Предварительная регистрация. API также раскрыл некоторую информацию об оборудовании для упражнений на орган, например, его серийный номер.

Мастера, Если ты помнишь, Обнаружил аналогичную ошибку в API Peloton, которая позволяла ему делать неаутентифицированные запросы и извлекать данные частной учетной записи непосредственно с серверов Peloton, при этом сервер никогда не проверял, разрешено ли ему (или кому-либо еще) запрашивать их.

API Echelon позволяет устройствам и приложениям его участников взаимодействовать с серверами Echelon через Интернет. API должен был проверять, было ли устройство участника авторизовано для получения пользовательских данных, проверяя код авторизации. Но Мастерс сказал, что токен не требуется для запроса данных.

Мастерс также обнаружил еще одну ошибку, которая позволяла участникам извлекать данные от любого другого члена из-за плохого контроля доступа к API. Мастерс сказал, что эта ошибка упростила перечисление идентификаторов учетных записей пользователей и очистку данных учетных записей с серверов Echelon. Доступны Facebook, LinkedIn, Peloton и Clubhouse. Он стал жертвой скребковых атак Он злоупотребляет доступом к API для получения данных о пользователях на их платформах.

READ  Консоль 8BitDo Pro 2 расширяет возможности предварительной настройки ввода

Кен Монро, основатель Pen Test Partners, раскрыл уязвимости Echelon 20 января в прямом сообщении в Twitter, учитывая, что у компании нет процесса раскрытия уязвимостей, с которыми сталкивается общественность (которая, по ее словам, сейчас находится «на рассмотрении»). Но исследователи не получили ответа в течение 90 дней после отправки отчета, что является стандартным периодом времени, который исследователи в области безопасности дают компаниям для исправления недостатков, прежде чем они будут опубликованы.

TechCrunch попросил Echelon прокомментировать, и ему сказали, что недостатки безопасности, выявленные Мастерсом, Написал В сообщении блога – Исправлено янв.

Мы наняли внешний сервис для проведения тестирования систем на проникновение и выявления уязвимостей. Мы приняли соответствующие меры для их устранения, и большинство из них были реализованы к 21 января 2021 года. Однако позиция Echelon заключается в том, что User ID не является личной информацией. . [personally identifiable information,” said Chris Martin, Echelon’s chief information security officer, in an email.

Echelon did not name the outside security company but said while the company said it keeps detailed logs, it did not say if it had found any evidence of malicious exploitation.

But Munro disputed the company’s claim of when it fixed the vulnerabilities, and provided TechCrunch with evidence that one of the vulnerabilities was not fixed until at least mid-April, and another vulnerability could still be exploited as recently as this week.

When asked for clarity, Echelon did not address the discrepancies. “[The security flaws] Это исправлено, – повторил Мартин.

Echelon также подтвердил, что он исправил ошибку, которая позволяла пользователям младше 13 лет регистрироваться. Многие компании блокируют доступ для детей младше 13 лет, чтобы избежать соблюдения Закона о защите конфиденциальности детей в Интернете или COPPA, который является законом США, который устанавливает строгие правила в отношении данных, которые компании могут собирать о детях. На этой неделе TechCrunch удалось создать учетную запись Echelon в возрасте до 13 лет, несмотря на то, что на странице говорилось: «Минимальный возраст для использования – 13 лет».

READ  PlayStation подтверждает название новой игры God of War [UPDATE]

Leonid Morozov

Создатель. Любитель кофе. Любитель Интернета. Организатор. Выродок поп-культуры. Поклонник телевидения. Гордый кулинарa

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Наверх