![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Sportger\u00e4tehersteller Peloton wird momentan schon arg gebeutelt. Erst gab es vor einigen Wochen eine Diskussion um die Sicherheit von Peloton-Laufb\u00e4ndern. Ein Video, in dem ein Kleinkind unter ein Laufband geriet und regelrecht unter das Ger\u00e4t gezogen wurde, ging viral. Nun kommt heraus, dass Nutzerdaten des Abo-Diensts Tour de Peloton problemlos durch Dritte \u00fcber eine API eingesehen werden konnten. <\/p>\n
<\/p>\n
Pen Test Partner berichten hier<\/a> aber von etwas anderem, n\u00e4mlich \u00fcber eine Sicherheitsl\u00fccke in der Software Tour de Peloton, \u00fcber die Daten der Benutzer von Unbefugten abgerufen werden konnten. Peloton hat mehr als drei Millionen Abonnenten f\u00fcr seine Fitness-Dienste. Sogar Pr\u00e4sident Biden soll eines dieser Fitness-Laufb\u00e4nder, die mehr als 1.800 Dollar kosten, besitzen. Jeder Benutzer kann ein monatliches Abonnement abschlie\u00dfen, um an einer breiten Palette von Kursen teilzunehmen.<\/p>\n Als Biden sein Amt als US-Pr\u00e4sident antrat und sein Peloton ins Wei\u00dfe Haus umzog, fand Jan Masters, ein Sicherheitsforscher bei Pen Test Partners, heraus, dass er unauthentifizierte Anfragen an die API von Peloton f\u00fcr Benutzerkontodaten stellen konnte. Es wurde nicht \u00fcberpr\u00fcft, ob die Person berechtigt war, diese anzufordern. So konnte er per Internet auf das Alter, Geschlecht, Stadt, Gewicht, Trainingsstatistiken und, falls der Benutzer Geburtstag hatte, auf Details, die verborgen sind, wenn die Profilseiten der Benutzer auf privat eingestellt sind, zugreifen.<\/p>\n Masters meldete dieses Datenschutzproblem am 20. Januar an Peloton und gab diesen eine 90-Tage-Frist, um den Fehler zu beheben. Peloton lie\u00df diese Frist verstreichen, ohne den Fehler zu beheben. Masters bekam, abgesehen von einer ersten E-Mail, die den Empfang des Bug-Reports best\u00e4tigte, auch keine R\u00fcckmeldung von der Firma. Stattdessen beschr\u00e4nkte Peloton den Zugriff auf seine API nur auf seine Mitglieder. Das bedeutete aber nur, dass sich jeder mit einer monatlichen Mitgliedschaft anmelden und wieder Zugriff auf die API bekommen konnte.<\/p>\n Erst als das Techmagazin Techcrunch Peloton kontaktierte, tat sich etwas. Wie das Medium hier schreibt<\/a>, best\u00e4tigte Peloton erst auf Nachfrage, dass der Fehler behoben sei. Peloton-Sprecherin Amelise Lane gab folgende Erkl\u00e4rung ab:<\/p>\n Es ist eine Priorit\u00e4t f\u00fcr Peloton, unsere Plattform sicher zu halten, und wir sind immer bestrebt, unseren Ansatz und unseren Prozess f\u00fcr die Zusammenarbeit mit der externen Sicherheitsgemeinschaft zu verbessern. \u00dcber unser Coordinated Vulnerability Disclosure-Programm hat uns ein Sicherheitsforscher informiert, dass er auf unsere API zugreifen und Informationen einsehen konnte, die auf einem Peloton-Profil verf\u00fcgbar sind. Wir haben Ma\u00dfnahmen ergriffen und die Probleme auf der Grundlage seiner ersten Eingaben behoben, aber wir haben den Forscher nur langsam \u00fcber unsere Abhilfema\u00dfnahmen informiert. In Zukunft werden wir besser mit der Sicherheitsforschungsgemeinschaft zusammenarbeiten und schneller reagieren, wenn Schwachstellen gemeldet werden. Wir m\u00f6chten Ken Munro daf\u00fcr danken, dass er seine Berichte \u00fcber unser CVD-Programm eingereicht hat und bereit war, mit uns an der Behebung dieser Probleme zu arbeiten.<\/p>\n<\/blockquote>\n Also auch hier wieder der Fall, dass der Hersteller erst auf Nachfrage der Presse reagiert. Details lassen sich in den beiden verlinkten Beitr\u00e4gen nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":" Sportger\u00e4tehersteller Peloton wird momentan schon arg gebeutelt. Erst gab es vor einigen Wochen eine Diskussion um die Sicherheit von Peloton-Laufb\u00e4ndern. Ein Video, in dem ein Kleinkind unter ein Laufband geriet und regelrecht unter das Ger\u00e4t gezogen wurde, ging viral. Nun … Weiterlesen Peloton<\/a> ist ein US-amerikanisches Unternehmen f\u00fcr Fitnessger\u00e4te und Medien, das 2012 gegr\u00fcndet wurde und 2013 mit Hilfe einer Finanzierungskampagne auf Kickstarter.com ins Leben gerufen wurde. Das Unternehmen hat seinen Hauptsitz in New York. Zu den Hauptprodukten des Unternehmens geh\u00f6ren Trainingsger\u00e4te, die es den Benutzern erm\u00f6glichen, per Fernzugriff an Kursen teilzunehmen, die von Fitnessstudios des Unternehmens aus gestreamt werden. F\u00fcr diese m\u00fcssen Nutzer f\u00fcr einen monatlichen Abonnementdienst bezahlen. In diesem Video<\/a> ist der Vorfall mit einem 2 Jahre alten Kleinkind, welches vom Laufband eingezogen wurde, zu sehen. Vor wenigen Stunden wurde der R\u00fcckruf der Peleton-Laufb\u00e4nder bekannt<\/a>, nachdem ein Kleinkind t\u00f6dlich mit so einem Ger\u00e4t verungl\u00fcckte. <\/p>\n
\n