自宅トレーニング大手のペロトンは、個人情報を漏洩させた唯一の企業ではありません。ライバルのエクササイズ大手エシェロンも、事実上誰でもユーザーのアカウント情報にアクセスできてしまうAPIの脆弱性を抱えていました。
フィットネステクノロジー企業のエシェロンは、ペロトンと同様に、会員が自宅で手軽にエクササイズできる選択肢として、バイク、ローイングマシン、トレッドミルなど、様々なトレーニング機器を提供しています。また、同社のアプリを使えば、会員はトレーニング機器を使わずにバーチャルクラスに参加することもできます。
しかし、ペンテスト・パートナーズのセキュリティ研究者ジャン・マスターズ氏は、エシェロンのAPIを使って、ライブクラスまたは録画クラスの他の会員のアカウントデータ(氏名、都市名、年齢、性別、電話番号、体重、生年月日、ワークアウトの統計情報や履歴など)にアクセスできることを発見した。APIは、会員のワークアウト機器に関するシリアル番号などの情報も開示していた。
ご記憶にあるかと思いますが、マスターズ氏はペロトンの API で同様のバグを発見しました。このバグにより、マスターズ氏は認証されていないリクエストを送信し、サーバー側でマスターズ氏 (または他のユーザー) のリクエストが許可されているかどうかを確認することなく、ペロトンのサーバーから直接ユーザーのプライベート アカウント データを取得できました。
エシェロンのAPIは、会員のデバイスとアプリがインターネット経由でエシェロンのサーバーと通信することを可能にします。このAPIは、認証トークンをチェックすることで、会員のデバイスがユーザーデータを取得する権限を持っているかどうかを確認するはずでした。しかし、マスターズ氏は、データのリクエストにトークンは必要ないと述べました。
マスターズ氏はまた、APIのアクセス制御が脆弱なため、メンバーが他のメンバーのデータを取得できる別のバグも発見しました。マスターズ氏によると、このバグにより、ユーザーアカウントIDの列挙やEchelonのサーバーからのアカウントデータのスクレイピングが容易になったとのことです。Facebook、LinkedIn、Peloton、Clubhouseはいずれも、APIへのアクセスを悪用してプラットフォーム上のユーザーデータを取得するスクレイピング攻撃の被害に遭っています。
データ侵害への対処法
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
Pen Test Partnersの創設者であるケン・マンロー氏は、1月20日にTwitterのダイレクトメッセージでEchelon社に脆弱性を報告した。同社には公開されている脆弱性開示プロセスがない(現在「審査中」としている)ためだ。しかし、報告書提出後90日間、研究者らは回答を得られなかった。これは、セキュリティ研究者が企業に脆弱性の詳細を公開する前に修正を求める標準的な期間である。
TechCrunchはエシェロン社にコメントを求めたところ、マスターズ氏がブログ記事で指摘したセキュリティ上の欠陥は1月に修正されたと回答した。
「システムへの侵入テストを実施し、脆弱性を特定するために外部のサービスを導入しました。これらの脆弱性を修正するための適切な措置を講じており、そのほとんどは2021年1月21日までに実施済みです。しかしながら、エシェロンの立場としては、ユーザーIDはPII(個人を特定できる情報)ではないと考えています」と、エシェロンの最高情報セキュリティ責任者であるクリス・マーティン氏はメールで述べています。
エシェロン社は外部のセキュリティ会社の名前は伏せたが、詳細なログは保存しているとしながらも、悪意ある不正利用の証拠を発見したかどうかは明らかにしなかった。
しかしマンロー氏は、脆弱性をいつ修正したかという同社の主張に異議を唱え、脆弱性の1つは少なくとも4月中旬までは修正されておらず、もう1つの脆弱性は今週の時点でもまだ悪用される可能性があるという証拠をTechCrunchに提供した。
明確化を求める質問に対し、エシェロン社は矛盾点について言及しなかった。「(セキュリティ上の欠陥は)修正済みです」とマーティン氏は繰り返し述べた。
Echelonは、13歳未満のユーザーが登録できてしまうバグを修正したことも確認しました。多くの企業は、企業が子供から収集できるデータについて厳格な規制を定めた米国法である児童オンラインプライバシー保護法(COPPA)を遵守するため、13歳未満の子供のアクセスをブロックしています。TechCrunchは今週、Echelonのページに「利用最低年齢は13歳です」と記載されていたにもかかわらず、13歳未満のユーザーでアカウントを作成することができました。
ランニングアプリはプライバシーとセキュリティの面で依然として遅れをとっている
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
