Backup & Security / Internet

Peloton: Schwachstelle in der API des Unternehmens erlaubte Zugriff auf sensible Daten der Nutzer

Avatar-Fotovon | 8 Kommentare

Den Sportlern unter euch dürfte eventuell der Anbieter Peloton bekannt sein, der nicht nur eigene Heimtrainer für daheim anbietet, sondern dahinter auch direkt ein Abo-System vermarktet, mit dem ihr von daheim an diversen Sportkursen teilnehmen könnt. Der Dienst könne mittlerweile über 3 Mio. Abonnenten vorweisen, weshalb die nun offengelegte Sicherheitslücke pikanter sein dürfte, als man vielleicht vermuten mag.

Denn wie Techcrunch berichtet, habe ein Sicherheitsforscher bereits im Januar dieses Jahres entdecken können, dass er ohne weitere Prüfungsmechanismen auf die API von Peloton zugreifen und dort private Benutzerdaten anderer Mitglieder abgreifen konnte. Dabei sei es unerheblich, ob das entsprechende Konto auf „privat“ gestellt worden ist oder nicht.

Da Peloton umgehend vom Sicherheitsforscher hierzu kontaktiert worden ist, die von ihm gesetzte Frist von 90 Tagen aber nicht eingehalten hat, um den Fehler zu beheben, hat dieser nun seine Informationen offengelegt. Die API ermöglichte es ihm und somit eventuell auch anderen Angreifern (Peloton wollte sich nicht äußern, ob es bereits entsprechende Angriffe gegeben hat), das Alter, das Geschlecht, den Wohnort, das Gewicht, Trainingsstatistiken und mehr von den Nutzern abzugreifen.

Das Unternehmen reagierte zwischendurch damit, dass der Zugriff auf die API lediglich seinen monatlich zahlenden Mitgliedern gewährt worden ist. Jene hatten aber noch immer den vollen Zugriff auf eben genannte Daten. Inzwischen soll die Lücke komplett geschlossen worden sein, die API somit keinen unautorisierten Zugriff mehr auf jene Daten erlauben. Fraglich ist, warum sich das Unternehmen derart lange Zeit gelassen hat, die Lücke wirklich zu schließen, statt nur einen unbefriedigenden Workaround anzubieten.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nordlicht, Ehemann und Vater. Technik-verliebt und lebt fürs Bloggen. Außerdem: Mail: benjamin@caschys.blog / Mastodon

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  2. Harry says:
    6. Mai 2021 um 13:09 Uhr

    Drei Millionen Abonenten? Ich begreife sowas nicht. Das ist weder die richtige Ausrüstung für Leistungssportler, noch für Hobbysportler. Wer ist da die mindestens drei Millionen Menschen große Zielgruppe?
    Was macht Peloton besser als die unzähligen anderen Anbieter in dem Bereich? Ist es nur das Marketing?

    • Tandeki says:
      6. Mai 2021 um 13:56 Uhr

      Siehst Du, und ich verstehe Dein Unverständnis nicht. Peloton-Bikes sind technisch eine gute Lösung für Leute, die zuhause Spinning machen wollen. Das Bike wird samt Zubehör geliefert, zusammengebaut, an seinem Bestimmungsort aufgestellt und von den Peloton-Leuten vor Ort erklärt. Dazu gibt es noch ein integriertes Kurssystem, das man nur einschalten muss – fertig. Dass es recht hochpreisig ist, so what? Die Leute kaufen sich alle mögliche hochpreisige Dinge, warum nicht also auch ein Peloton?

    • hsci says:
      6. Mai 2021 um 16:38 Uhr

      Sehr geschicktes Fernsehmarketing, die Hersteller von Rollentrainer oder Steuerungsanwendung für eben selbige sind defensiver Unterwegs. Peloton macht anschmiegsame Werbung und das schaut dann toll aus.

      Wieder der Blick auf Apple. Apples Fernsehwerbung macht viel BlingBling, in Wahrheit waren das vor allem Anfangs Erklärbarvideos. Produktschulung, ohne dass die Leute es merken. Und Apple ist so dreißt und lässt die Netzbetreiber die Werbung bezahlen 😀

      btw.
      Vor Ort erklärt einem bei Peloton sicher niemand etwas. Jetzt schon gar nicht.

      • Tandeki says:
        6. Mai 2021 um 17:12 Uhr

        Du mit Deinem Rollentrainer und Apple-Vergleich. Sei doch froh, wenn Du „Dein Ding“ gefunden hast. Letztlich soll jeder mit dem zufrieden sein, was am besten passt. Vielen passen Rollentrainer, anderen wiederum das Peloton. Und natürlich wird einem grundsätzlich das Bike bei Lieferung eingestellt und erklärt. Nur halt in einer Pandemie aus nachvollziehbaren Gründen eben nicht. Diese ungewöhnlichen Umstände als Nachteile des Service zu beschreiben, ist jedoch nicht fair.

  3. bulli says:
    6. Mai 2021 um 13:13 Uhr

    Und mit dem in Deutschland (noch) nicht verfügbaren Laufband gibt es in den USA auch „leichte“ Probleme, was schwere Verletzungen und auch schon den ersten Todesfall zur Folge hat. Erst stellte man sich quer, bis die ngeative Publicity zu groß wurde. Und die Laufbänder sind noch teurer als Fahrräder…

  4. Uwe says:
    6. Mai 2021 um 18:16 Uhr

    Der Widerstand wird beim Peloton Bike+ remote vom Trainer eingestellt, wenn Du was willst. Nix mit roten Knopf alle drei Minuten drehen.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.

Umfrage des Monats

Was zahlst du pro Monat für Streaming?

View Results

Wird geladen ... Wird geladen ...

Anzeige