Bir tehdit aktörü, oturum açma API’sindeki bir açığı kötüye kullanarak topladığı 442.519 Life360 müşterisinin kişisel bilgilerini içeren veritabanını sızdırdı.
Sadece ’emo’ kullanıcı adıyla tanınan bu kişiler, verileri çalmak için kullanılan güvenli olmayan API uç noktasının, etkilenen her kullanıcının e-posta adresini, adını ve telefon numarasını doğrulamanın kolay bir yolunu sağladığını söyledi.
Emo, “Android’de bir life360 hesabına giriş yapmaya çalıştığınızda, giriş uç noktası kullanıcının adını ve telefon numarasını döndürüyordu; bu yalnızca API yanıtında mevcuttu ve kullanıcı tarafından görülemiyordu” dedi.
“Kullanıcı telefon numarasını doğrulamış olsaydı, bunun yerine +1******4830 gibi kısmi bir numara döndürülürdü.”
Tehdit aktörüne göre Life360, API açığını düzeltti ve ek istekler artık geçici bir telefon numarası döndürüyor.
HackManac tarafından ilk kez tespit edilen bu veri sızıntısının ardındaki ihlal, Mart 2024’te gerçekleşti ve emo, olayın arkasında kendilerinin olmadığını söyledi.
Aynı tehdit aktörü pazartesi günü, Ocak ayında güvenli olmayan bir API kullanılarak toplanan Trello hesaplarıyla ilişkili 15 milyondan fazla e-posta adresini de sızdırdı.
Şirket, tehdit aktörünün iddialarıyla ilgili yorum talebine yanıt vermezken, BleepingComputer sızdırılan verilerdeki birden fazla girişi doğrulayarak bilginin gerçek Life360 müşterilerine ait olduğunu doğruladı.
Perşembe günü Life360, saldırganların Tile müşteri destek platformunu ihlal ederek isimler, adresler, e-posta adresleri, telefon numaraları ve cihaz tanımlama numaraları gibi hassas bilgileri çalmasının ardından bir gasp girişiminin hedefi olduğunu açıkladı.
Tehdit aktörü, büyük ihtimalle eski bir Tile çalışanının çalınan kimlik bilgilerini kullanarak birden fazla Tile sistemine sızmış ve bu sayede Tile kullanıcılarının bulunmasına, yönetici kullanıcılarının oluşturulmasına, Tile kullanıcılarına uyarı gönderilmesine ve Tile cihazının mülkiyetinin devredilmesine olanak sağlamış; 404 Media da geçen hafta ilk kez bu haberi duyurmuştu.
Saldırgan, farklı bir sistem kullanarak Tile müşteri adlarını, ev ve e-posta adreslerini, telefon numaralarını ve cihaz kimliklerini de topladı ve tespit edilmekten kaçınarak milyonlarca istek gönderdi.
Life360 CEO’su Chris Hulls, “Tezgahta bulunan veriler, kredi kartı numaraları, parolalar veya oturum açma bilgileri, konum verileri veya hükümet tarafından verilen kimlik numaraları gibi daha hassas bilgileri içermiyor, çünkü Tile müşteri destek platformu bu tür bilgileri içermiyordu” diye ekledi. “Bu olayın yukarıda açıklanan belirli Tile müşteri destek verileriyle sınırlı olduğuna ve daha yaygın olmadığına inanıyoruz.”
Şirket, Tile olayının ne zaman tespit edildiğini ve ortaya çıkan veri ihlalinden kaç müşterinin etkilendiğini henüz açıklamadı.
Life360, dünya çapında 66 milyondan fazla üyeye gerçek zamanlı konum takibi, acil yol kenarı yardım hizmetleri ve çarpışma tespiti sağlıyor. Şirket, Aralık 2021’de Bluetooth izleme hizmeti sağlayıcısı Tile’ı 205 milyon dolarlık bir anlaşmayla satın aldı.
BleepingComputer bugün bu haftaki veri sızıntısı hakkında yorum yapmak ve bunun Tile ihlaliyle aynı olay olup olmadığını teyit etmek için bize ulaştığında, Life360 sözcüsü hemen ulaşılamadı.