שנת 2021 של פלוטון עוברת מהרעה לגרועה ככל שמתגלים דיווחים על הפרת נתונים פוטנציאלית. נראה כי ההפרה נובעת מממשק API חשוף שאיפשר לכל אחד לשלוף את המידע הפרטי של חברי פלוטון, כולל אלה עם הגדרות הנתונים הפרטיות ביותר.

מה שהחמיר את המצב, חוקר האבטחה גילה באחריות את גילוי ה- API החשוף לפלוטון בחודש ינואר 2021 תוך שימוש במועד האחרון ל -90 - אך נראה שפלוטון אכן תיקן את הבאג במסגרת הזמן.

על פי החשד, פלוטון חשף נתוני מנויים

דיווח לראשונה על ידי זק ויטאקר עבור TechCrunch, ה- API החשוף אפשר לכל אחד לשלוף נתוני חשבון משתמש פרטיים משרתי פלוטון, לא משנה מצב החשבון. על פי התיאור של וויטקר:

באמצע האימון של יום שני אחר הצהריים בשבוע שעבר קיבלתי הודעה מחוקר אבטחה עם צילום מסך של נתוני חשבון פלוטון שלי. פרופיל הפלוטון שלי מוגדר כפרטי, ורשימת החברים שלי אפסית בכוונה, כך שאף אחד לא יכול להציג את הפרופיל, הגיל, העיר או ההיסטוריה של האימון שלי.

הדו"ח הגיע מיאן מאסטרס, חוקר אבטחה ב- שותפים לבדיקת עטים. מאסטרס גילה שהוא יכול להגיש בקשות API לא מורשות לשרתי פלוטון. הבקשות החזירו נתונים הכוללים:

  • מזהי משתמש
  • תעודות מדריך
  • חברות בקבוצה
  • מקום
  • סטטיסטיקה של האימון
  • מין וגיל
  • אם הם בסטודיו או לא
instagram viewer

לאחר שחשף את הפרת הנתונים הפוטנציאלית, מאסטרס גילה באחריות את ה- API הדולף בפני פלוטון. הגילויים האחראיים ביותר נותנים לספק השירות 90 יום לתקן את הבאג, מה שעשתה מאסטרס.

עם זאת, נראה כי במקום לתקן את הפגיעות לחלוטין, פלוטון בתחילה רק הגבילה את הגישה ל- API לחבריה. בשלב זה, כל אחד יכול ליצור חשבון חדש עם חברות חודשית ולהשתמש בו כדי לגשת לממשק ה- API.

למרות קשר נוסף מצד שותפי פן-טסט, פלוטון נותרה מגיבה עד אשר חברת מחקר האבטחה הגיעה לפלטון לקבלת הסבר נוסף.

זמן קצר לאחר יצירת קשר עם משרד העיתונאים בפלוטון היה לנו קשר ישיר מ- CISO של פלוטון, שהיה חדש בתפקיד. הפגיעות תוקנו במידה רבה תוך 7 ימים. חבל שהגילוי שלנו לא נענה בזמן ובנוסף שהיה עלינו לשתף עיתונאי כדי להקשיב לו.

TechCrunch החזיקה את החדשות על דליפת ה- API עד שפלוטון פתר את הבעיה, שאותה יש לה מאז.

קָשׁוּר: פלוטון נגד Nordictrack vs. הדרגון: מאמן האופניים המקורה הטוב ביותר

פלוטון 2021 על מסלול מהמורות

פלוטון והוועדה האמריקאית לבטיחות מוצרים לצרכן מודיעים על זיכוי מרצון של מוצרי ה- Tread + ו- Tread של פלוטון. למידע נוסף ולהשתתפות בזיכרון, בקרו באתר שלנו #לִזכּוֹר עמוד https://t.co/I0h2yrSEyXpic.twitter.com/9zp2QMyH9x

- פלוטון (@onepeloton) 5 במאי 2021

פלוטון היה מבקר תכוף בכותרות, ולא תמיד מהסיבות הנכונות. הליכון ההליכון פלוטון + נזכר לאחר מותו הטרגי של ילד צעיר ומקרי פציעה מרובים. במקביל, ישנן קריאות להמשך חקירה של מוצרים אחרים של פלוטון כדי לבדוק אם קיימים בעיות אבטחה.

קָשׁוּר: פלוטון נלחמת בזיכרון בטיחותי של הליכון + הליכון

אם אתה הבעלים של הליכון + הליכון פלוטון, המוצר הוחזר רשמית ב -5 במאי 2021. ה עמוד זיכרון פלוטון מספק מידע נוסף על קבלת החזר כספי מלא והחזרת ההליכון.

אימייל
לאחר מותו של ילד, פלוטון מפרסם הודעת בטיחות חדשה

האירוע גרם למנכ"ל פלוטון, ג'ון פולי, לכתוב מייל ללקוחות.

קרא הבא

נושאים קשורים
  • בִּטָחוֹן
  • חדשות טק
  • ספורט
  • פרצת אבטחה
  • כושר
על הסופר
גאווין פיליפס (843 מאמרים פורסמו)

גאווין הוא העורך הצעיר של Windows ו- Technology Explained, תורם באופן קבוע לפודקאסט היעיל באמת, והיה העורך של אתר האחיות הממוקד בקריפטו של MakeUseOf, Blocks Decoded. יש לו תואר ראשון (Hons) בכתיבה עכשווית עם תרגולי אמנות דיגיטלית שנפרסו מגבעות דבון, כמו גם מעל עשור של ניסיון מקצועי בכתיבה. הוא נהנה מכמויות גדולות של תה, משחקי חברה וכדורגל.

עוד מאת גאווין פיליפס

הירשם לניוזלטר שלנו

הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!

צעד אחד נוסף !!!

אנא אשר את כתובת הדוא"ל שלך בדוא"ל ששלחנו לך זה עתה.

.