Les chercheurs en sécurité affirment que le géant de l’exercice à domicile Peloton et son plus proche rival Echelon ne supprimaient pas les photos de profil téléchargées par les utilisateurs de leurs métadonnées, exposant dans certains cas les données de localisation réelles des utilisateurs.

Presque chaque fichier, photo ou document contient des métadonnées, qui sont des données sur le fichier lui-même, telles que sa taille, sa date de création et par qui. Les photos et les vidéos incluront souvent également l’endroit d’où elles ont été prises. Ces données de localisation aident les services en ligne à marquer vos photos ou vidéos que vous étiez dans ce restaurant ou cet autre point de repère.

Mais ces services en ligne – en particulier les plates-formes sociales, sur lesquelles vous voyez les photos de profil des personnes – sont censés supprimer les données de localisation des métadonnées du fichier afin que les autres utilisateurs ne puissent pas espionner où vous êtes allé, car les données de localisation peuvent révéler où vous vivez, où vous travaillez, où vous allez et qui vous voyez.

Jan Masters, chercheur en sécurité chez Pen Test Partners, a découvert l’exposition des métadonnées dans le cadre d’un examen plus large de l’API qui fuit de Peloton. TechCrunch a vérifié le bogue en téléchargeant une photo de profil avec les coordonnées GPS de notre bureau de New York et en vérifiant les métadonnées du fichier alors qu’il était sur le serveur.

Les bogues ont été signalés en privé à Peloton et à Echelon.

Peloton a corrigé ses problèmes d’API plus tôt ce mois-ci, mais a déclaré qu’il avait besoin de plus de temps pour corriger le bogue des métadonnées et pour supprimer les photos de profil existantes de toutes les données de localisation. Un porte-parole de Peloton a confirmé que les bugs avaient été corrigés la semaine dernière. Echelon a corrigé sa version du bogue plus tôt ce mois-ci. Mais TechCrunch a conservé ce rapport jusqu’à ce que nous ayons la confirmation que les deux sociétés avaient corrigé le bogue et que les métadonnées avaient été supprimées des anciennes photos de profil.

On ne sait pas depuis combien de temps le bogue a existé ou si quelqu’un l’a exploité de manière malveillante pour récupérer les informations personnelles des utilisateurs. Toute copie, qu’elle soit mise en cache ou grattée, pourrait représenter un risque important pour la vie privée des utilisateurs dont l’emplacement identifie leur adresse personnelle, leur lieu de travail ou tout autre emplacement privé.

Speaking…