Life360

脅威者は、ログインAPIの欠陥を悪用して収集した442,519人のLife360顧客の個人情報を含むデータベースを流出させた。

彼らのハンドルネームは「emo」のみで、データを盗むために使用された安全でないAPIエンドポイントは、影響を受けた各ユーザーの電子メールアドレス、名前、電話番号を確認する簡単な方法を提供したという。

「Androidでlife360のアカウントにログインしようとすると、ログインエンドポイントはユーザーの名前と電話番号を返します。

“ユーザーが電話番号を確認した場合、代わりに+1*******4830のような部分的な番号として返される”

脅威行為者によると、Life360はその後APIの欠陥を修正し、追加のリクエストではプレースホルダーの電話番号が返されるようになったという。

HackManacによって最初に発見されたように、このデータ流出の背後にある侵害は2024年3月に発生し、emoは事件の背後に自分たちはいなかったと述べている。

月曜日には、1月に安全でないAPIを使用して収集されたTrelloアカウントに関連する1500万以上の電子メールアドレスも、同じ脅威行為者によって流出させられた

同社は、脅威行為者の主張に関するコメントの要求には答えなかったが、流出したデータの複数のエントリを検証することにより、情報が実際のLife360顧客のものであることを確認した。

Life360 leak
Life360 リーク ()

木曜日、Life360はまた、攻撃者がタイルの顧客サポートプラットフォームに侵入し、名前、住所、電子メールアドレス、電話番号、デバイス識別番号を含む機密情報を盗んだ後、恐喝未遂の標的であったことを明らかにした。

先週404 Mediaが最初に報じたように、この脅威者はおそらくTileの元従業員の盗んだ認証情報を使って複数のTileシステムに侵入し、Tileユーザーの検索、管理ユーザーの作成、Tileユーザーへのアラートのプッシュ、Tileデバイスの所有権の移転などを行った。

攻撃者はまた別のシステムを使って、Tileの顧客名、自宅および電子メールアドレス、電話番号、デバイスIDをスクレイピングし、検出を回避しながら何百万ものリクエストを送信した。

Life360のCEOであるChris Hulls氏は、「Tileのカスタマーサポート・プラットフォームにはこれらの情報は含まれていなかったため、公開されたデータには、クレジットカード番号、パスワード、ログイン情報、位置情報、政府発行のID番号など、よりセンシティブな情報は含まれていません。「この事件は、上記の特定のTileカスタマー・サポート・データに限定されたものであり、それ以上の広がりはないと考えています。

同社は、Tileのインシデントがいつ発見されたのか、その結果データ漏洩の影響を受けた顧客の数はまだ明らかにしていない。

Life360は、世界中の6600万人以上の会員にリアルタイムの位置追跡、緊急ロードサイドアシスタンスサービス、衝突検知を提供している。2021年12月、同社はブルートゥース・トラッキング・サービス・プロバイダーのTile社を2億500万ドルで買収した。

Life360の広報担当者は、今週のデータ流出についてコメントし、それがTileの情報流出と同じ事件であるかどうかを確認するため、本日連絡を取ったが、すぐに対応できなかった。