Tile

安全および位置情報サービス会社Life360は、脅威行為者がタイルの顧客サポート・プラットフォームから侵入し、機密情報を盗んだ後、恐喝未遂の標的になったと発表した。

Life360は、世界中の6600万人以上の会員にリアルタイムの位置追跡、衝突検知、緊急ロードサイドアシスタンスサービスを提供している。2021年12月には、ブルートゥース・トラッキング・サービス・プロバイダーのTile社を2億500万ドルで買収した。

水曜日にLife360は、攻撃者がTileのカスタマーサポート・プラットフォームに侵入し、名前、住所、電子メールアドレス、電話番号、デバイス識別番号にアクセスしたことを明らかにした。

「他の多くの企業と同様に、Life360も最近、犯罪的な恐喝未遂の被害に遭いました。Life360のCEOであるクリス・ハルスは「我々は、タイルの顧客情報を所有していると主張する未知の行為者から電子メールを受け取った。

公開されたデータには、クレジットカード番号、パスワード、ログイン認証情報、位置情報、政府発行の身分証明書番号など、より機密性の高い情報は含まれていません。

「この事件は、上記の特定のTileカスタマー・サポート・データに限定されたものであり、それ以上の広がりはないと考えています。

盗まれた認証情報を使って侵入

Life360は、脅威行為者がどのように同社のプラットフォームに侵入したかは明らかにしなかったが、同社はさらなる攻撃からシステムを保護するための措置を講じ、恐喝未遂を法執行機関に報告したと述べた。

さらに同社は、情報漏洩がいつ発見されたのか、またその結果どれだけの顧客が影響を受けたのか、まだ明らかにしていない。

タイルの広報担当者は、これらの質問には一切答えず、タイルは “法執行機関と協力し続けている “とし、”現時点では他の最新情報はない “と述べた。

Life360はこの情報流出に関する詳細をあまり明らかにしなかったが、404 Mediaは水曜日に、ハッカーが複数のTileシステムにアクセスするために、Tileの元従業員の盗まれたと思われる認証情報を使用したと報じた

同脅威行為者によると、侵害されたツールの1つは、電話番号またはプライベートハッシュIDに基づいてTileの顧客を見つけ、「データアクセス、位置情報、または法執行機関の要請を開始」するのに役立ち、他のツールはおそらく、管理者ユーザーの作成、Tileユーザーへのアラートのプッシュ、Tileデバイスの所有権の移転を可能にするという。

しかし、攻撃者は、検知されることなく何百万ものリクエストを送信することで、別のシステムを使用してTileの顧客名、住所、電子メールアドレス、電話番号、およびデバイス識別番号をスクレイピングした。

現時点では、脅威者がスクレイピングしたデータを公開するかどうかは不明だ。しかし、この種のデータはハッキングフォーラムやダークウェブマーケットで販売されたり、脅威行為者の評判を高めるために無料で公開されたりするのが一般的だ。