Peloton: Gehypter Fitness-Dienst ignorierte schwere Sicherheitslücke

Wer sich ein Indoor-Fitnessrad von Peloton kauft, der muss tief in die Tasche greifen, denn das High-Tech-Fahrrad kostet zumindest 2145 Euro. Das ist sehr viel Geld, zumal man für die Kurse zusätzlich 39 Euro im Monat bezahlt. Die Besonderheit von Peloton sind die personalisierten Online-Trainings, die live zum Nutzer gestreamt werden. Peloton-Besitzer und -Abonnenten schwören aber darauf, dass es das Geld wert ist. Dafür bekommen sie jedoch offenbar "nur" erstklassige Fitnessgeräte und -kurse, nicht jedoch entsprechende Sicherheit. Denn wie TechCrunch berichtet, hat ein bei Pen Test Partners beschäftigter Sicherheitsforscher namens Jan Masters eine schwerwiegende Lücke im Peloton-API entdeckt. Damit ließen sich unauthentifizierte Anfragen durchführen, dadurch konnten dann persönliche Daten abgegriffen werden.


Peleton: Edel, praktisch und teuer - aber nicht unbedingt sicher

Zugriff auf sensible Daten

Dadurch konnte jeder per Internet den Zugriff auf Alter, Geschlecht, Stadt sowie Gewicht des Nutzers erhalten, auch Trainingsstatistiken und Geburtstag des Peloton-Benutzers waren einsehbar. Das sind Details, die verborgen werden, wenn die Profilseiten der Benutzer auf privat gestellt sind.

Doch das ist nicht alles: Denn Masters meldete die Lücke Mitte Januar an den Hersteller und gab Peloton eine branchenübliche 90-Tages-Frist, das Problem zu fixen. Doch Peloton ließ diesen Zeitraum verstreichen und der Bug wurde nicht behoben. Man schränkte lediglich den API-Zugriff auf Mitglieder ein. Das bedeutet aber, dass die Lücke nach wie vor bestand, man aber eine Mitgliedschaft brauchte, um sie auszunutzen.

Peloton reagierte erst nachdem man eine Anfrage von TechCrunch erhalten hat. In einem Statement drückte sich Peloton um ein klares Schuldeingeständnis, gelobte aber dennoch Besserung: "In Zukunft werden wir besser mit der Sicherheitsforschungsgemeinschaft zusammenarbeiten und schneller reagieren, wenn Schwachstellen gemeldet werden."