落とし物トラッカー「Tile」の内部ツールにハッカーが侵入し電話番号や住所などの顧客データが盗まれ警察向けのデータ処理用ツールも被害に
ハッカーが元従業員のものと思われるログイン認証情報を使用し、落とし物トラッカー「Tile」の内部ツールにアクセスして情報を盗んだことがわかりました。
Hacker Accesses Internal ‘Tile’ Tool That Provides Location Data to Cops
https://www.404media.co/email/b2f3b3e8-64a2-4f91-b0b7-8c6220721ecb/
Life360 confirms a hacker stole Tile tracker IDs and customer info - The Verge
https://www.theverge.com/2024/6/12/24176889/tile-life360-customer-data-breach-hacker-extortion
海外メディアの404 Mediaによると、Tileに存在する内部ツールにハッカーがアクセスし、顧客の名前、住所、メールアドレス、電話番号、注文や返品に関する情報、使用した支払い方法の詳細などの大量の顧客データを盗んだとのこと。中にはTile社が法執行機関の要求に応じて使用する位置情報処理ツールも含まれていましたが、Tileの位置情報自体は含まれていませんでした。
404 Mediaの調査に対し、ハッカーは「基本的にすべての情報へアクセスできた」と語ったとのこと。ハッカーはTile社に支払いを要求したものの、返事はなかったといいます。
ハッカーが共有した情報によると、Tileにはあるメールアドレスから別のメールアドレスにTileの所有権を移すもの、管理ユーザーを作成するもの、Tileユーザーにプッシュ通知を送信するものなどの内部ツールがあり、ハッカーはそれらすべてにアクセスできる状態だったそうです。
この件に関し、Tile社は以下の通り声明を発表しました。
「最近、あるハッカーが、会社から漏れた管理者認証情報を使ってシステムと顧客データにアクセスしたと主張し、当社に連絡してきました。私たちは直ちにこの事件について調査を開始しました。調査の結果、特定の管理者認証情報が不正な者によって使用され、当社のTileサービスプラットフォームではなく、Tileカスタマーサポートプラットフォームにアクセスされたことが判明しました。Tileカスタマーサポートプラットフォームには、氏名、住所、電子メールアドレス、電話番号、Tileデバイスの識別番号などの限定的な顧客情報が含まれています。クレジットカード番号、パスワード、ログイン情報、位置情報、政府発行のID番号など、より機密性の高い情報は含まれていません」
「私たちは認証情報を無効にし、Tileカスタマーサポートプラットフォームと関連する顧客データへの今後の不正アクセスを防止するために設計された迅速な措置を講じました。現時点では、Tileカスタマーサポートプラットフォームへの継続的な不正アクセスはないと確信しています」
・関連記事
「スマート貞操帯」のメーカーがパスワードや位置情報を公開していることが判明 - GIGAZINE
車のバッテリー状態を確認できるアプリが中国に位置情報を送信していたことが判明、アプリは10万回以上ダウンロードされ日本でも利用されている - GIGAZINE
DJI製ドローンに操縦者の位置情報を正確に割り出すことが可能な脆弱性が発見されるも関係者は「想定通り」と釈明 - GIGAZINE
電源オフのiPhoneでも「探す」機能で位置を特定できるのはなぜか? - GIGAZINE
・関連コンテンツ