Seorang pelaku ancaman telah membocorkan basis data yang berisi informasi pribadi 442.519 pelanggan Life360 yang dikumpulkan dengan menyalahgunakan kelemahan pada API login.
Dikenal hanya dengan nama pengguna ’emo’, mereka mengatakan titik akhir API tidak aman yang digunakan untuk mencuri data menyediakan cara mudah untuk memverifikasi alamat email, nama, dan nomor telepon setiap pengguna yang terkena dampak.
“Saat mencoba masuk ke akun life360 di Android, titik akhir masuk akan mengembalikan nama depan dan nomor telepon pengguna, ini hanya ada dalam respons API dan tidak terlihat oleh pengguna,” kata emo.
“Jika pengguna telah memverifikasi nomor teleponnya, hasilnya akan berupa nomor parsial, seperti +1******4830.”
Menurut pelaku ancaman, Life360 telah memperbaiki kelemahan API, dan permintaan tambahan kini mengembalikan nomor telepon pengganti.
Seperti yang pertama kali ditemukan oleh PeretasanManacpelanggaran di balik kebocoran data ini terjadi pada bulan Maret 2024, dengan emo mengatakan mereka tidak berada di balik insiden tersebut.
Pada hari Senin, pelaku ancaman yang sama juga membocorkan lebih dari 15 juta alamat email terkait dengan akun Trello yang dikumpulkan menggunakan API yang tidak aman pada bulan Januari.
Meskipun perusahaan tidak membalas permintaan komentar mengenai klaim pelaku ancaman, BleepingComputer mengonfirmasi bahwa informasi tersebut milik pelanggan Life360 yang sebenarnya dengan memverifikasi beberapa entri dalam data yang bocor.
Pada hari Kamis, Life360 juga mengungkapkan bahwa mereka menjadi target percobaan pemerasan setelah penyerang melanggar platform dukungan pelanggan Tile dan mencuri informasi sensitif, termasuk nama, alamat, alamat email, nomor telepon, dan nomor identifikasi perangkat.
Pelaku ancaman kemungkinan menggunakan kredensial curian dari mantan karyawan Tile untuk membobol beberapa sistem Tile, yang memungkinkan menemukan pengguna Tile, membuat pengguna admin, mengirimkan peringatan kepada pengguna Tile, dan mentransfer kepemilikan perangkat Tile, seperti 404 Media pertama kali melaporkan minggu lalu.
Dengan menggunakan sistem yang berbeda, penyerang juga mencuri nama pelanggan Tile, alamat rumah dan email, nomor telepon, dan ID perangkat, mengirimkan jutaan permintaan sambil menghindari deteksi.
Data yang terekspos “tidak mencakup informasi yang lebih sensitif, seperti nomor kartu kredit, kata sandi atau kredensial log-in, data lokasi, atau nomor identifikasi yang dikeluarkan pemerintah, karena platform dukungan pelanggan Tile tidak memuat jenis informasi ini,” tambah CEO Life360 Chris Hulls. “Kami yakin insiden ini terbatas pada data dukungan pelanggan Tile tertentu yang dijelaskan di atas dan tidak meluas.”
Perusahaan belum mengungkapkan kapan insiden Tile terdeteksi dan berapa banyak pelanggan yang terkena dampak pelanggaran data yang diakibatkannya.
Life360 menyediakan pelacakan lokasi secara real-time, layanan bantuan darurat pinggir jalan, dan deteksi kecelakaan kepada lebih dari 66 juta anggota di seluruh dunia. Pada bulan Desember 2021, perusahaan mengakuisisi penyedia layanan pelacakan Bluetooth Tile dalam kesepakatan senilai $205 juta.
Seorang juru bicara Life360 tidak bisa dihubungi saat BleepingComputer menghubunginya hari ini untuk mengomentari kebocoran data minggu ini dan mengonfirmasi apakah itu insiden yang sama dengan pelanggaran Tile.
