fermer
Développement

Un bug dans l’API de Peloton a exposé les informations privées des utilisateurs

XvoCP9xWy2s6EKSXJ6nXf5.jpg scaled
Un bug dans l'API de Peloton a exposé les informations privées des utilisateurs

La populaire application de fitness connue pour ses cours de cyclisme virtuels et ses vélos d’appartement, Peloton, a exposé les données personnelles de milliers d’utilisateurs par le biais d’un ensemble de endpoints API mal sécurisés. La société a déployé un correctif partiel après que des chercheurs en sécurité ont transmis l’information à des médias.

Jan Masters, chercheur en sécurité chez Pen Test Partners, a signalé pour la première fois les vulnérabilités à Peloton le 20 janvier 2021, et a donné à la marque de fitness un préavis de 90 jours avant la publication de ses recherches. Il s’agit d’une pratique standard qui permet aux entreprises de déployer des mises à jour avant que le grand public ne prenne connaissance du problème.

Peloton n’a pas répondu pendant ce délai et aucun correctif n’a été publié. Masters a alors contacté Zack Whittaker, un rédacteur de TechCrunch qui couvre les failles de sécurité, dans l’espoir que la pression exercée par un média inciterait Peloton à agir. La nouvelle de la couverture de Whittaker a porté ses fruits et une solution partielle a été publiée. Maintenant qu’un correctif est en place, TechCrunch a publié sa couverture de la vulnérabilité.

Masters a noté dans le rapport que ces problèmes exposaient les identifiants des utilisateurs, les identifiants des instructeurs, l’appartenance à un groupe, le lieu, les statistiques d’entraînement, le sexe, l’âge et si l’utilisateur est dans le studio ou non. Ces informations étaient exposées par plusieurs endpoints de l’API accessibles par des utilisateurs authentifiés et non authentifiés, et l’accès n’était pas correctement limité.

Masters a donné une explication plus détaillée du fonctionnement de l’exploit sur le blog de Pen Test Partners et a également résumé ses découvertes dans la vidéo ci-dessous :

Des doutes sur les données récupérées

Peloton a maintenant mis à jour l’API pour s’assurer que seuls les utilisateurs authentifiés peuvent accéder à ces données, ce qui, étant donné du fait que l’enregistrement d’un compte est gratuit, est loin d’être une solution complète. Masters écrit que Peloton s’est excusé et a déclaré avoir résolu la majorité des problèmes d’API dans la semaine suivant son rapport. Ce qui n’est pas clair dans l’immédiat, c’est si quelqu’un d’autre que Masters a pu avoir accès aux données des clients alors que l’API était dans un état de fuite.

Il est important de noter que, bien que Peloton dispose de certains paramètres de confidentialité sur la plateforme, la participation à des cours rend la plupart de ces paramètres caducs.

Tags : APIPeloton
Yohann Poiron

The author Yohann Poiron

J’ai fondé le BlogNT en 2010. Autodidacte en matière de développement de sites en PHP, j’ai toujours poussé ma curiosité sur les sujets et les actualités du Web. Je suis actuellement engagé en tant qu’architecte interopérabilité.