居家健身品牌Pelonton以室內固定式自行車和跑步機而被人們所熟知，但近日卻曝出了300萬訂閱用戶個人資料可能失竊的一個嚴重漏洞。即使你將個人資料設置為私密，且沒有任何好友，Pelonton應用程序接口（API）的這個安全漏洞，還是允許任何人獲取用戶的私人賬戶數據。

資料圖（來自：Peloton）

Peloton 的客戶群裡有許多名人，甚至連美國現總統拜登也有一台。在售價1800 美元的動感單車的基礎上，該公司還提供了豐富的訂閱選項，其中包括了各種各樣的課程。

然而Pen Test Partners 安全研究員Jan Masters 發現，他竟然能夠在未經身份驗證的情況下，向Peloton 的官方API 提出可獲取其它用戶私人數據的請求，且用戶的本地設備和雲端服務器都如此不設防。

這些數據中包括了詳細的用戶年齡、性別、城市、體重、鍛煉統計數據，甚至可揭示用戶在個人資料設置頁面中設為私密的生日等信息。

遺憾的是，儘管早在2021 年1 月20 日就向Peloton 通報了這個API 漏洞，但該公司還是未能在90 條的標準期限內完成bug 修復。

除了最初收到的一封確認函，該公司後續的態度也相當消極，只將API 訪問權限設置為僅會員可用。對於攻擊者來說，依然能夠通過註冊月度會員的形式，訪問到其他人的各種私密信息。

慶幸的是，在漏洞曝光的壓力下，Peloton 終於在近日完成了該漏洞的修復，同時回應稱很難向安全人員介紹詳細的補救措施。

展望未來，該公司將更積極地與安全研究社區合作，以在收到漏洞報告時作出更快的響應。