API(用語)
Echelon(企業)

PelotonのライバルEchelonもAPI漏洩、誰でも会員アカウントデータを取得できる状態に

次の記事

結局、SPACは悪いアイデアだったのかもしれない

個人のアカウントデータが流出したのは、Peloton(ペロトン)だけではなかった。ライバルであるホームエクササイズ大手のEchelon(エシュロン)も、APIが漏洩しており、誰でもユーザーのアカウント情報にアクセスできる状態になっていたことが明らかになった。

関連記事:PelotonのAPIは脆弱で誰でもアカウントデータを取得できる、不正利用の有無は不明

フィットネステクノロジー企業のEchelonは、Pelotonと同様に、メンバーがジムよりも安価に自宅でエクササイズするための代替手段として、バイク、ローワー、トレッドミルなどの各種ワークアウトハードウェアを提供している。また、同社のアプリを使えば、メンバーはトレーニング機器を必要としないバーチャルクラスに参加することもできる。

しかし、Pen Test Partnersのセキュリティ研究者Jan Masters(ヤン・マスターズ)氏は、EchelonのAPIによって、ライブまたは録画されたクラスに参加している他のメンバーのアカウントデータ(氏名、都市、年齢、性別、電話番号、体重、誕生日、ワークアウトの統計情報や履歴など)にアクセスできることを発見した。また、同社のAPIでは、会員のワークアウト機器のシリアル番号などの情報も開示されていた。

マスターズ氏はかつて、PelotonのAPIにも同様のバグを発見した研究者だ。そのバグにより、同氏は不正なリクエストを行い、Pelotonのサーバーから直接、プライベートなユーザーアカウントデータを取得することができた。サーバーはその際1度も、彼(または他の人)のリクエストが許可されるべきかどうか確認しなかった。

EchelonのAPIは、メンバーのデバイスやアプリがインターネット経由でEchelonのサーバーと会話することを可能にする。このAPIは、メンバーのデバイスがユーザーデータを取得することを許可されているかどうか、認証トークンをチェックすることで確認するはずだった。だがマスターズ氏によると、データを要求するのにトークンは必要なかったという。

またマスターズ氏は、APIのアクセス制御が弱いために、メンバーが他のメンバーのデータを取得できる別のバグも発見した。同氏によるとこのバグにより、ユーザーのアカウントIDを列挙し、Echelonのサーバーからアカウントデータをスクレイピングすることが容易になっているという。Facebook(フェイスブック)、LinkedIn(リンクトイン)、Peloton、そしてClubhouse(クラブハウス)はいずれも、APIへのアクセスを悪用して各社プラットフォーム上のユーザーに関するデータを取得するスクレイピング攻撃の被害に遭っている

Pen Test Partnersの創業者であるKen Munro(ケン・マンロー)氏は、2021年1月20日にTwitter(ツイッター)のダイレクトメッセージで、Echelonにこれらの脆弱性について報告した。これは、同社は一般向けの脆弱性公表プロセスを持っていないためだ(現在は「検討中」とのこと)。しかし、セキュリティ研究者が企業に対して、その詳細が公表される前に欠陥を修正するように与える標準的な期間である、報告書の提出後90日間、Echelonからの返答はなかった。

TechCrunchがEchelonにコメントを求めたところ、マスターズ氏がブログ記事に書いたセキュリティ上の欠陥は、2021年1月に修正されたとのこと。

「当社は、外部のサービスに依頼してシステムの侵入テストを行い、脆弱性を特定しました。そしてこれらを修正するために適切な措置をとり、そのほとんどを2021年1月21日までに実施しました。ですがEchelonは、ユーザーIDはPII(個人を特定できる情報、personally identifiable information)ではないという立場をとっています」と、同社のISOであるChris Martin(クリス・マーティン)氏はメールで述べた。

Echelonは外部のセキュリティ会社の名前は明かさなかったが、同社は詳細なログを記録しているとしながらも、悪意のある不正利用の証拠を発見したかどうかについては言及しなかった。

しかしマンロー氏は、Echelonが脆弱性を修正した時期についての主張に異議を唱え、少なくとも2021年4月中旬までは脆弱性の1つが修正されておらず、別の脆弱性は今週の時点でも悪用される可能性があったという証拠をTechCrunchに提供した。

明確な説明を求められた際、Echelonはこの食い違いを説明しなかった。「セキュリティ上の欠陥は修正されています」とマーティン氏は繰り返し述べた。

また同社は、13歳未満のユーザーがサインアップできるバグを修正したことも確認した。多くの企業は、企業が収集できる子どものデータに厳しい規則を設けた米国の法律であるCOPPA(Children’s Online Privacy Protection Act)への準拠を避けるために、13歳未満の子どものアクセスをブロックしている。TechCrunchは今週、登録ページには「最低使用年齢は13歳です」と書かれているにもかかわらず、13歳未満の年齢でEchelonのアカウントを作成することができた。

関連記事
保険大手Lemonadeのウェブサイトで顧客の個人情報が漏洩するバグが発覚
クラウドインフラプロバイダー大手DigitalOceanが顧客の請求データ流出を発表

カテゴリー:セキュリティ
タグ:Echelonデータ漏洩エクササイズAPI

画像クレジット:Echelon(stock image)

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)