落とし物トラッカー「Tile」の内部ツールにハッカーが侵入し電話番号や住所などの顧客データが盗まれ警察向けのデータ処理用ツールも被害に

ハッカーが元従業員のものと思われるログイン認証情報を使用し、落とし物トラッカー「Tile」の内部ツールにアクセスして情報を盗んだことがわかりました。

Hacker Accesses Internal ‘Tile’ Tool That Provides Location Data to Cops
https://www.404media.co/email/b2f3b3e8-64a2-4f91-b0b7-8c6220721ecb/

Life360 confirms a hacker stole Tile tracker IDs and customer info - The Verge
https://www.theverge.com/2024/6/12/24176889/tile-life360-customer-data-breach-hacker-extortion

海外メディアの404 Mediaによると、Tileに存在する内部ツールにハッカーがアクセスし、顧客の名前、住所、メールアドレス、電話番号、注文や返品に関する情報、使用した支払い方法の詳細などの大量の顧客データを盗んだとのこと。中にはTile社が法執行機関の要求に応じて使用する位置情報処理ツールも含まれていましたが、Tileの位置情報自体は含まれていませんでした。

404 Mediaの調査に対し、ハッカーは「基本的にすべての情報へアクセスできた」と語ったとのこと。ハッカーはTile社に支払いを要求したものの、返事はなかったといいます。

ハッカーが共有した情報によると、Tileにはあるメールアドレスから別のメールアドレスにTileの所有権を移すもの、管理ユーザーを作成するもの、Tileユーザーにプッシュ通知を送信するものなどの内部ツールがあり、ハッカーはそれらすべてにアクセスできる状態だったそうです。

この件に関し、Tile社は以下の通り声明を発表しました。

「最近、あるハッカーが、会社から漏れた管理者認証情報を使ってシステムと顧客データにアクセスしたと主張し、当社に連絡してきました。私たちは直ちにこの事件について調査を開始しました。調査の結果、特定の管理者認証情報が不正な者によって使用され、当社のTileサービスプラットフォームではなく、Tileカスタマーサポートプラットフォームにアクセスされたことが判明しました。Tileカスタマーサポートプラットフォームには、氏名、住所、電子メールアドレス、電話番号、Tileデバイスの識別番号などの限定的な顧客情報が含まれています。クレジットカード番号、パスワード、ログイン情報、位置情報、政府発行のID番号など、より機密性の高い情報は含まれていません」

「私たちは認証情報を無効にし、Tileカスタマーサポートプラットフォームと関連する顧客データへの今後の不正アクセスを防止するために設計された迅速な措置を講じました。現時点では、Tileカスタマーサポートプラットフォームへの継続的な不正アクセスはないと確信しています」