PelotonのAPIは脆弱で誰でもアカウントデータを取得できる、不正利用の有無は不明

先週、月曜日午後のワークアウトを半分終えた後、あるセキュリティ研究者から私のPeloton（ペロトン）アカウントデータのスクリーンショットが送られてきた。

私のPelotonプロフィールはプライベートに設定されていて、友達リストは意図的にゼロにしているので、私のプロフィールや年齢、都市、ワークアウト履歴は誰も見ることができない。しかし、あるバグによってPelotonのサービスからユーザーのプライベートアカウントデータを誰でも取り出すことができる。プロフィールをプライベートに設定しているにもかかわらず。

Pelotonは、室内エクササイズバイクと窮地に立たされているトレッドミルで知られているホームフィットネスブランドで、300万人以上のサブスクライバーを抱えている。バイデン大統領さえも1台所有していると発言している。エクササイズ・バイクはそれだけで1800ドル以上するが、月極サブスクリプションは誰でもサインアップして、さまざまなクラスに参加できる。

関連記事：Pelotonのトレッドミル2種にリコール、初期対応の不備を謝罪

バイデン氏が就任し、彼のPelotonがホワイトハウスに移された（ただしシークレットサービスが許したとして）後、Pen Test Partnersのセキュリティ研究者Jan Masters（ヤン・マスターズ）氏は、PelotonのAPIに不正なリクエストを行い、資格をチェックされることなくユーザーアカウントデータを取得できることを発見した。

暴露されたAPIを使って、彼は（そしてインターネット上の誰でも）Pelotonユーザーの年齢、性別、都市、体重、ワークアウト統計情報、およびその日がユーザーの誕生日であるかどうか、というプライベートに設定されているユーザープロフィールページの奥深くに隠されている詳細データをアクセスすることができる。

マスターズ氏は、漏れのあるAPIを1月20日にPelotonに報告し、バグ修正のために90日間の猶予を与えた。これはセキュリティ研究者が詳細を公表する前に企業がバグ修正するために与える標準的日数だ。

しかしその締切が過ぎてもバグは修正されず、会社からはバグレポートを受け取ったことを示す最初のメール以外、マスターズ氏に連絡はなかった。代わりにPelotonは、APIへのアクセスをメンバーのみに制限しただけだった。しかしそれは、誰でもメンバー登録をすれば再びAPIをアクセスできることを意味していた。

TechCrunchは締切が過ぎた後、Pelotonに連絡を取り、なぜ脆弱性レポートが無視されたのかを尋ねたところ、Pelotonは米国時間5月4日、脆弱性は修正済みであることを確認した（TechCrunchは悪用を防ぐためにバグが修正されるまでこの件の報道を控えていた）。

Pelotonの広報担当であるAmelise Lane（アメリ・ゼレーン）氏は以下の声明を公開した。

プラットフォームを安全に保つことはPelotonの優先事項であり、外部のセキュリティ・コミュニティとの協力方法を常に改善しています。当社のCoordinated Vulnerability Disclosure（協調的な脆弱性の公開）プログラムを通じて、あるセキュリティ研究者から私たちのAPIにアクセスしPelotonプロファイルで利用可能な情報を見ることができたという報告がありました。当社は行動を起こし、研究者の最初の報告に基づいて問題に対応しましたが、当社の改善措置について彼に最新情報を送るのが遅れました。今後はセキュリティ研究コミュニティとの協調方法を見直し、脆弱性が報告された時には迅速に返答できるよう努力いたします。Ken Munro（ケン・マンロ）氏には当社のCVDプログラムを通じて報告していただき、一連の問題解決について率直に協力していいただいたことに感謝しています。

マスターズ氏はその後ブログ記事を投稿し、脆弱性をより詳細に説明した。

Pen Test Partnersを設立したマンロ氏はTechCrunchに「Pelotonは脆弱性報告の返答で少々失敗しましたが、正しい方向を示された後は、適切な行動をとりました。脆弱性公開プログラムはウェブサイト上にページを置くだけではなく、組織全体の協調的行動を必要とします」。

しかしPelotonに対する疑問は残る。繰り返して尋ねられながら、同社はマスターズ氏の脆弱性レポートに何故返事をしなかったのかをいわなかった。また、何者かが脆弱性を悪用して、悪運とデータの一括スクレイピングなどを行ったかどうかも明らかにしていない。

Facebook（フェイスブック）とLinkedIn（リンクトイン）とClubhouse（クラブハウス）は、いずれもAPIを不正アクセスしてプラットフォーム上のユーザーデータを引き出すスクレイピング攻撃の犠牲になったことがある。しかしPelotonは、同社の漏れのあるAPIの悪用があった可能性を排除するためのログがあるかどうかの確認を拒んだ。

カテゴリー：セキュリティ

タグ：Peloton、データ漏洩

画像クレジット：Bryce Durbin / TechCrunch

［原文へ］

（文：Zack Whittaker、翻訳：Nob Takahashi / facebook ）