Popüler bir aile konum izleme uygulaması olan Life360, 443.000 kullanıcıyı etkileyen bir veri ihlali yaşadı. Adlar ve telefon numaraları da dahil olmak üzere kişisel bilgiler sızdırıldı. İhlal, olası riskler ve koruyucu önlemler hakkında bilgi edinin.
Bilgisayar korsanları, Android ve iOS için popüler bir aile güvenliği ve konum paylaşım uygulaması olan Life360’ın yarım milyondan fazla kullanıcısının kişisel bilgilerini ifşa etti. Veri ihlali Mart 2024’te gerçekleşti, ancak veritabanı yalnızca 17 Temmuz 2024 Çarşamba günü kötü şöhretli Breach Forumları’nda sızdırıldı.
Life360’ın siber güvenlik olaylarına yabancı olmadığını belirtmekte fayda var. Haziran 2024’te, ana şirketi Life360 olan konum izleme firması Tile da, bir bilgisayar korsanının yalnızca hassas verileri çalmayı başarmakla kalmayıp aynı zamanda dahili araçlara da eriştiği büyük bir veri ihlali yaşadı.
Her iki olay da birbirine bağlı görünse de, bu ihlalden sorumlu gerçek hacker(lar) hala bilinmiyor. Ancak, veriler forumda “Emo” takma adını kullanan başka bir hacker tarafından sızdırıldı. Emo, Ocak 2024’te gerçekleşen bir ihlalde yakın zamanda 15 milyondan fazla Trello müşteri hesabını sızdıran hacker’ın aynısı.
Sızdırılan Life360 Verileri
Hackread.com Araştırma Ekibi tarafından sızdırılan veritabanının analizine göre, ihlalden etkilenen kullanıcı sayısının 443.223 olduğu doğrulanabilir. Sızdırılan kişisel bilgiler arasında şu bilgiler yer alıyor:
- Tam adlar
- Telefon numaraları
- E-mail adresleri
- İşlem Kimlikleri
- Kayıt Durumu
İyi haber şu ki, veri ihlalinde şifreler, sosyal güvenlik numaraları veya finansal bilgiler yer almıyor.
NASIL?
Life360’ın verilerinin nasıl çıkarıldığına gelince, Emo Breach Forums’daki gönderisinde, ihlalin API suistimalinin bir sonucu olduğunu açıkladı. Android’deki uygulamanın oturum açma uç noktasındaki bir güvenlik açığından yararlanarak, bilgisayar korsanları API yanıtlarından adlar ve telefon numaraları gibi kişisel bilgilere erişebildiler.
Bu bilgiler, uygulama içinde kullanıcı tarafından görülemese de, arka uçtan erişilebilirdi ve kötüye kullanılabilirdi. Life360, o zamandan beri gerçek telefon numaraları yerine yer tutucu numaraları döndürmek için API yanıtını değiştirerek bu sorunu düzeltti.
Kötü haber şu ki, Life360 kullanıcıları e-posta adresleri sızdırıldığı için sadece kimlik avı e-postaları riski altında değil, aynı zamanda telefon numaraları da çalındığı için Smishing’e (SMS kimlik avı) maruz kalıyorlar. Ayrıca, veriler Telegram gruplarında ve Rusça konuşan siber suç forumlarında aktif olarak paylaşılıyor.
Bu nedenle, Life360’ta bir hesabınız varsa, şüpheli herhangi bir aktiviteye karşı dikkatli olmalısınız. Ayrıca, etkilenen e-posta adresinizin şifresini değiştirin, çünkü bilgisayar korsanları önceki veri ihlallerinde şifrenizi bulabilir ve oturum açmaya çalışabilir. Cihazınızda çok faktörlü kimlik doğrulamayı etkinleştirerek bu girişimleri engelleyebilirsiniz.
Bu makale buna göre güncellenecektir. Takipte kalın.
Şunlar da hoşunuza gidebilir…
- Hacker 800.000 Kazınmış Chess.com Kullanıcı Kaydını Sızdırdı
- Match Systems CEO’su DMM Bitcoin İhlali Hakkında Görüşlerini Paylaştı
- Lulu Hipermarket İhlali Milyonlarca Müşteri Kaydını Etkiledi
- LAUSD İhlali: Öğrenci Yerleri Dahil 25 Milyon Kayıt Sızdırıldı
- Hacker, TEG Bilet Satıcısının İhlalini İddia Ediyor: 30 Milyon Kullanıcı Kaydı Satılık