(https://i.postimg.cc/nrwc36fW/Leak.png) (https://postimages.org/)
Es posible que millones de usuarios de Tile, uno de los principales proveedores de dispositivos de seguimiento de ubicación Bluetooth, hayan visto expuesta su información personal tras una reciente filtración de datos, que ha dado lugar a una demanda de rescate.
Según 404 Media, el pirata informático obtuvo acceso a herramientas internas de la empresa utilizando las credenciales robadas de un ex empleado de Tile y accedió a múltiples sistemas Tile para robar datos confidenciales.
Estos datos incluían herramientas utilizadas para transferir la propiedad del rastreador Tile, crear cuentas de administrador y enviar notificaciones a los usuarios, como se muestra en las capturas de pantalla también proporcionadas por el actor.
(https://i.postimg.cc/W1StbyDb/Tile-life360-hacked.png) (https://postimages.org/)
Life360, la empresa matriz de Tile, centrada en datos de ubicación, anunció el 11 de junio de 2024 que había detectado un acceso no autorizado a su plataforma de atención al cliente. Según el comunicado de prensa de la compañía, Tile fue objeto de un "intento de extorsión criminal", en el que un actor desconocido les informó que poseía información de los clientes de Tile.
La empresa investigó de inmediato y descubrió un acceso no autorizado a una plataforma de atención al cliente de Tile, pero no a la plataforma de servicio de Tile. Si bien la compañía asegura a los usuarios que ningún dato financiero, contraseña o información de ubicación se vio comprometido ya que la plataforma nunca almacenó estos datos, los datos confidenciales del usuario pueden quedar expuestos, incluidos nombres, direcciones físicas, direcciones de correo electrónico, números de teléfono y números de identificación de dispositivos Tile.
"Creemos que este incidente se limitó a los datos específicos de atención al cliente de Tile descritos anteriormente y no está más extendido", afirmó el director ejecutivo de Life360, Chris Hulls, restableciendo su compromiso de proteger la información de los clientes y tomando medidas para proteger sus sistemas de los malos actores.
Vale la pena señalar que el comunicado de prensa no está disponible para usuarios fuera de los Estados Unidos.
La empresa ha denunciado el incidente y el intento de extorsión a las autoridades. Sin embargo, esta infracción resalta la vulnerabilidad de las empresas que rastrean la ubicación de las personas y cómo pueden convertirse en objetivos de los piratas informáticos.
Los usuarios de Tile deben tener cuidado con los intentos de phishing, ya que las direcciones de correo electrónico quedaron expuestas.
Comentarios de expertos
Piyush Pandey, director ejecutivo de Pathlock, un proveedor de seguridad de acceso e identidad con sede en Flemington, Nueva Jersey, comentó sobre la violación de datos señalando múltiples factores involucrados, incluida la amenaza potencial llevada a cabo por empleados anteriores o descontentos y la falta de autenticación de seguridad.
"En este caso, parece que el acceso se otorgó utilizando las credenciales de administrador de un ex empleado de Tile, lo que apunta a un inquilino clave de la seguridad de la identidad: la capacidad de tener visibilidad proactiva del acceso y los derechos de los usuarios en todo el proceso de incorporación, mudanza, partes del ciclo de vida de la identidad que abandonan".
"También parece que hubo una falta de autenticación multifactor, lo que puede haber impedido que se otorgara el acceso con solo un nombre de usuario y contraseña. Esta violación también apunta a la importancia de asegurar el acceso a la cuenta de servicio además de las aplicaciones principales de la línea de negocio", añadió Piyush.
Fuente:
HackRead
https://hackread.com/location-tracker-tile-data-breach-hackers/