Filtración masiva de datos a través de la API de las bicicletas WiFi Peloton

Especialistas en ciberseguridad afirman que la sofisticada bicicleta fija Peloton tiene muchos más problemas de seguridad de los que se pensaban. Todo comenzó hace algunos meses, cuando se descubrió que la API de este dispositivo estaba filtrando los datos confidenciales de sus usuarios, además de que la compañía habría ignorado múltiples reportes de seguridad para finalmente corregir la falla sólo de forma parcial.

Durante los meses siguientes la compañía siguió acumulando mala reputación luego de que se reportara que sus máquinas caminadoras podrían causar serias lesiones e incluso se habrían investigado como parte causal de un reciente accidente. Mientras la compañía lidia con estos problemas, siguen apareciendo reportes de seguridad señalando las severas filtraciones de información provocadas por estos dispositivos.

Jan Masters, experto en seguridad de la firma Pen Test Partners descubrió una falla que permitía a cualquier usuario extraer información confidencial almacenada en los servidores de Peloton sin importar las configuraciones de privacidad habilitadas en cada perfil. Entre los datos expuestos por esta falla se encuentran detalles como:

  • ID de usuario
  • ID de instructor
  • Membresía
  • Localización
  • Estadísticas de entrenamiento
  • Género y edad

Por si no fuese suficiente riesgo de seguridad, el experto señala que estos dispositivos cuentan con cámaras y micrófonos integrados para fines de entrenamiento en equipo, lo que podría exponer a los usuarios a invasivas técnicas de espionaje cibernético. En reportes anteriores, los investigadores incluso usaron como ejemplo al presidente de E.U. Joe Biden, de quien se menciona tiene un modelo de bicicleta Peloton vulnerable a este tipo de ataques.

Por otra parte, los expertos también se muestran preocupados por la cantidad de información que puede obtenerse de una API vulnerable, para lo cual señalan los ejemplos analizados en compañías como Peloton, Clubhouse, John Deere y Experian. Jason Kent, hacker residente en Cequence Security, menciona: “Estamos en la antesala de una oleada de ataques a través de la implementación insegura de API”.

Sobre los daños que los actores de amenazas pueden hacer con estos ataques, el experto menciona que esto depende de las capacidades y las intenciones de los hackers: “Usualmente una API vulnerable filtra datos de ubicación sobre individuos específicos, por lo que un actor de amenazas podría obtener estos datos y encontrar la ubicación real de la víctima, por mencionar un ejemplo.”

Kent concluye mencionando que la prevención de estos escenarios de riesgo solo será posible cambiando la forma en que las personas se conectan a Internet: “¿Realmente necesitamos una bicicleta estática o un tostador de pan conectado a Internet? Las personas confían tanto en la tecnología que no les molesta compartir su rutina diaria con Google o el fabricante de sus smartphones; los usuarios deben recordar que las empresas no son confiables, por lo que debemos mantenernos alejados de Internet en la medida de lo posible.”

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).