Η Echelon εξέθεσε τα δεδομένα του λογαριασμού των αναβατών, χάρη σε ένα διαρκές API


Image Credits: Echelon (stock stock)

Ο Peloton δεν ήταν ο μόνος γίγαντας προπόνησης στο σπίτι που αποκάλυψε δεδομένα ιδιωτικού λογαριασμού . Ο γίγαντας Rival άσκησης Echelon είχε επίσης ένα διαρκές API που επιτρέπει σχεδόν σε όλους να έχουν πρόσβαση στις πληροφορίες λογαριασμού των αναβατών.

Η εταιρεία τεχνολογίας γυμναστικής Echelon, όπως η Peloton, προσφέρει μια σειρά εξοπλισμού προπόνησης – ποδήλατα, κωπηλάτες και διάδρομο – ως φθηνότερη εναλλακτική λύση για μέλη να ασκούνται στο σπίτι. Η εφαρμογή του επιτρέπει επίσης στα μέλη να συμμετέχουν σε εικονικά μαθήματα χωρίς την ανάγκη εξοπλισμού προπόνησης.

Ωστόσο, ο Jan Masters, ερευνητής ασφαλείας στο Pen Test Partners, διαπίστωσε ότι το API του Echelon του επέτρεψε να έχει πρόσβαση στα δεδομένα λογαριασμού – όπως όνομα, πόλη, ηλικία, φύλο , αριθμός τηλεφώνου, βάρος, γενέθλια και στατιστικά προπόνησης και ιστορικό – οποιουδήποτε άλλου μέλους σε ζωντανή ή προ-ηχογραφημένη τάξη. Το API αποκάλυψε επίσης ορισμένες πληροφορίες σχετικά με τον εξοπλισμό προπόνησης των μελών, όπως τον σειριακό αριθμό του.

Οι μάστερ, αν θυμάστε βρήκαν ένα παρόμοιο σφάλμα με το API της Peloton, το οποίο του επέτρεψε να υποβάλει μη εξουσιοδοτημένα αιτήματα και να τραβήξει ιδιωτικά δεδομένα λογαριασμού χρήστη απευθείας από τους διακομιστές της Peloton χωρίς ποτέ να ελέγχει ο διακομιστής για να βεβαιωθεί ότι του επιτρέπεται (ή οποιοσδήποτε άλλος) να το ζητήσει.

Το API του Echelon επιτρέπει στις συσκευές και τις εφαρμογές των μελών του να μιλούν με τους διακομιστές της Echelon μέσω του Διαδικτύου. Το API έπρεπε να ελέγξει εάν η συσκευή του μέλους εξουσιοδοτήθηκε να τραβήξει δεδομένα χρήστη ελέγχοντας ένα διακριτικό εξουσιοδότησης. Ωστόσο, ο Masters είπε ότι το διακριτικό δεν ήταν απαραίτητο για να ζητήσει δεδομένα.

Οι Masters βρήκαν επίσης ένα άλλο σφάλμα που επέτρεψε στα μέλη να τραβήξουν δεδομένα σε οποιοδήποτε άλλο μέλος λόγω των αδύναμων ελέγχων πρόσβασης στο API. Ο Masters είπε ότι αυτό το σφάλμα διευκόλυνε την απαρίθμηση των αναγνωριστικών λογαριασμού χρήστη και τη συλλογή δεδομένων λογαριασμού από τους διακομιστές του Echelon. Το Facebook, το LinkedIn, το Peloton και το Clubhouse έχουν πέσει θύματα θύματα θραύσης επιθέσεων που κάνουν κατάχρηση πρόσβασης σε API για να τραβήξουν δεδομένα σχετικά με τους χρήστες στις πλατφόρμες τους.

Ο Ken Munro, ιδρυτής της Pen Test Partners, αποκάλυψε τις ευπάθειες στον Echelon στις 20 Ιανουαρίου σε ένα άμεσο μήνυμα στο Twitter, καθώς η εταιρεία δεν έχει μια διαδικασία αποκάλυψης ευπάθειας που αντιμετωπίζει το κοινό (η οποία λέει τώρα είναι "υπό εξέταση"). Όμως, οι ερευνητές δεν άκουσαν τις 90 ημέρες μετά την υποβολή της έκθεσης, ο συνήθης χρόνος που οι ερευνητές ασφαλείας έδωσαν στις εταιρείες για να διορθώσουν τα ελαττώματα πριν δημοσιοποιηθούν τα στοιχεία τους.

Η TechCrunch ζήτησε από τον Echelon να σχολιάσει και τους είπαν ότι Ελαττώματα ασφαλείας που εντοπίστηκαν από τον Masters – το οποίο έγραψε σε μια ανάρτηση ιστολογίου – επιδιορθώθηκαν τον Ιανουάριο.

Έχουμε λάβει τις κατάλληλες ενέργειες για τη διόρθωσή τους, οι περισσότερες από τις οποίες εφαρμόστηκαν έως τις 21 Ιανουαρίου 2021. Ωστόσο, η θέση του Echelon είναι ότι το User ID δεν είναι PII [προσωπικάαναγνωρίσιμεςπληροφορίες»δήλωσεοChrisMartinεπικεφαλήςασφαλείαςπληροφοριώντουEchelonσε

Ο Echelon δεν ονόμασε την εξωτερική εταιρεία ασφαλείας, αλλά είπε ενώ η εταιρεία είπε ότι διατηρεί λεπτομερή αρχεία καταγραφής, δεν είπε εάν είχε βρει στοιχεία για κακόβουλη εκμετάλλευση.

Ωστόσο, ο Munro αμφισβήτησε τον ισχυρισμό της εταιρείας για το πότε διόρθωσε τις ευπάθειες και παρείχε στην TechCrunch αποδεικτικά στοιχεία ότι μία από τις ευπάθειες δεν επιδιορθώθηκε τουλάχιστον στα μέσα Απριλίου και ότι μια άλλη ευπάθεια θα μπορούσε να αξιοποιηθεί ακόμα και αυτήν την εβδομάδα.

Όταν ζητήθηκε σαφήνεια, ο Echelon δεν αντιμετώπισε ασυμφωνίες. «[Τα ελαττώματα ασφαλείας] έχουν αποκατασταθεί», επανέλαβε ο Martin.

Ο Echelon επιβεβαίωσε επίσης ότι διόρθωσε ένα σφάλμα που επέτρεψε στους χρήστες κάτω των 13 ετών να εγγραφούν. Πολλές εταιρείες αποκλείουν την πρόσβαση σε παιδιά ηλικίας κάτω των 13 ετών για να αποφύγουν τη συμμόρφωση με τον Νόμο για την Προστασία της Απορρήτου των Παιδιών στο Διαδίκτυο ή το COPPA, έναν νόμο των ΗΠΑ που θέτει αυστηρούς κανόνες σχετικά με το τι μπορούν να συλλέγουν εταιρείες δεδομένων για παιδιά. Η TechCrunch μπόρεσε να δημιουργήσει έναν λογαριασμό Echelon αυτήν την εβδομάδα με ηλικία κάτω των 13 ετών, παρά τη σελίδα που λέει: "Η ελάχιστη ηλικία χρήσης είναι 13 ετών."

>Μεταφρασμένο από την Google <
Source link

Αφήστε μια απάντηση

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.