Vazamento da semana: API da Peloton expõe idade, localização e histórico de exercícios

Mais uma semana, mais um vazamento. Dessa vez, equipamentos de exercícios da Peloton e sua API falha expuseram dados sensíveis de clientes

Uma versão antiga da API da Peloton, que permitia que as bicicletas da empresa e esteiras se comuniquem com seus servidores, pode ter exposto perfis de clientes.
O bug foi detectado em janeiro de 2021, mas a empresa só agora está confirmando que o bug foi corrigido.
O bug foi corrigido, mas a idade, localização e histórico de exercícios dos usuários provavelmente foram vazados.

Usando a API do Peloton, era possível extrair todos os tipos de informações de clientes. O problema principal estava em chamadas não autenticadas para a API.

Saiba mais

Matéria no The Verge (em inglês): https://www.theverge.com/2021/5/5/22421329/peloton-api-bug-customer-data-exposed

Report do Tech Crunch (em inglês): https://techcrunch.com/2021/05/05/peloton-bug-account-data-leak/