Bir tehdit oyuncusu, giriş API'sında bir kusuru kötüye kullanarak toplanan 442.519 Life360 müşterisinin kişisel bilgilerini içeren bir veritabanı sızdırdı.
Yalnızca 'emo' tutamaçlarıyla bilinen verileri çalmak için kullanılan teminatsız API uç noktasının, etkilenen her kullanıcının e -posta adresini, adını ve telefon numarasını doğrulamak için kolay bir yol sağladığını söylediler.
Emo, "Android'de bir Life360 hesabına giriş yapmaya çalışırken, oturum açma uç noktası kullanıcının adını ve telefon numarasını döndürür, bu sadece API yanıtında vardı ve kullanıcı tarafından görülemedi." Dedi.
"Bir kullanıcı telefon numarasını doğruladıysa, bunun yerine +1 ****** 4830 gibi kısmi bir numara olarak döndürülür."
Tehdit oyuncusuna göre, Life360 o zamandan beri API kusurunu düzeltti ve ek istekler artık bir yer tutucu telefon numarasını döndürüyor.
Hackmanac tarafından ilk tespit edildiği gibi, bu veri sızıntısının arkasındaki ihlal Mart 2024'te meydana geldi ve emo olayın arkasında olmadığını söyledi.
Pazartesi günü, aynı tehdit oyuncusu, Ocak ayında teminatsız bir API kullanılarak toplanan Trello hesaplarıyla ilişkili 15 milyondan fazla e -posta adresi sızdırdı.
Şirket, tehdit oyuncunun iddiaları hakkında yorum talebine cevap vermese de, BleepingComputer, sızdırılan verilerdeki birden fazla girişi doğrulayarak bilgilerin gerçek Life360 müşterilerine ait olduğunu doğruladı.
Perşembe günü, Life360, saldırganların bir karo müşteri destek platformunu ihlal ettikten ve isimler, adresler, e -posta adresleri, telefon numaraları ve cihaz kimlik numaraları da dahil olmak üzere hassas bilgileri çaldıktan sonra bir gasp girişiminin hedefi olduğunu açıkladı.
Tehdit oyuncusu, eski bir karo çalışanının çalınan kimlik bilgilerini, 404 Medya'nın geçen hafta ilk kez bildirdiği gibi, kiremit kullanıcıları bulma, yönetici kullanıcıları oluşturmaya, fayans kullanıcılarına uyarmalara ve karo cihaz sahipliğini aktarmasına izin veren birden fazla karo sistemini ihlal etmek için kullandı.
Farklı bir sistem kullanarak, saldırgan aynı zamanda tespitten kaçınırken milyonlarca istek göndererek karo müşteri adlarını, ev ve e -posta adreslerini, telefon numaralarını ve cihaz kimliklerini kazıdı.
Maruz kalan veriler "kredi kartı numaraları, şifreler veya oturum açma kimlik bilgileri, konum verileri veya devlet tarafından verilen kimlik numaraları gibi daha hassas bilgiler içermez, çünkü karo müşteri destek platformu bu bilgi türlerini içermiyordu," Life360 CEO Chris Hulls ekledi. Diyerek şöyle devam etti: "Bu olayın yukarıda açıklanan belirli karo müşteri destek verileriyle sınırlı olduğuna ve daha yaygın olmadığına inanıyoruz."
Şirket, kiremit olayının ne zaman tespit edildiğini ve elde edilen veri ihlalinden kaç müşterinin etkilendiğini henüz açıklamamıştır.
Life360, dünya çapında 66 milyondan fazla üyeye gerçek zamanlı konum izleme, acil yol yardım hizmetleri ve çarpışma tespiti sağlar. Aralık 2021'de şirket, 205 milyon dolarlık bir anlaşma ile Bluetooth izleme hizmet sağlayıcısı karo satın aldı.
Bir Life360 sözcüsü, BleepingComputer bugün bu haftanın veri sızıntısı hakkında yorum yapmak ve karo ihlali ile aynı olay olup olmadığını doğrulamak için hemen mevcut değildi.
Hacking forumunda sızan 15 milyon Trello kullanıcısının e -posta adresleri
Dallas County: 2023 fidye yazılımı saldırısında maruz kalan 200.000 veriler
Infosys McCamish, Lockbit'in 6 milyon kişinin verilerini çaldığını söylüyor
Dairy Dev Agropur, veri ihlali maruz kalan müşteri bilgilerini söylüyor
Life360, hacker'ın kiremit veri ihlalinden sonra onları zorlamaya çalıştığını söylüyor
Kaynak: Bleeping Computer