Sokan ismerhetik a Life360 csomagot, amely egyfajta kényelmes szülői felügyeletként segíthet a gyermekek fizikai helyzetének nyomonkövetésében, a családtagok egymás közti kommunikációjában. Ezúttal egy friss incidens kapcsán szivárogtak ki tömegesen ügyféladatok a kaliforniai székhelyű cégtől.
Egy furcsa API hibát használt ki az a támadó, aki nemrégiben több, mint 400 ezer Life360 felhasználó telefonszámát tartalmazó adatbázist szivárogtatott ki. Az adatok állítólag még 2024. márciusában kompromittálódtak.
Az ezek ellopására kihasznált sebezhetőség lényege pedig abban állt, hogy androidos bejelentkezéskor a nem biztonságos API válaszban kicsillagozott maszkolás nélkül jelent meg a név és a teljes kitakaratlan telefonszám.
Az elkövető szerint az üzemeltetők azóta már kijavították ezt a fentemlített hibát.
A Bleeping Computers értesülései alapján arra következtethetünk, hogy nem kamu a dolog: a kiszivárgott adatok valóságosnak tűnnek, és látszólag igazi felhasználók információit tartalmazzák.
A Life360 az említett valós idejű helymeghatározáson felül balesetészlelést és sürgősségi közúti segélyszolgálatot is biztosít világszerte több, mint 66 millió ügyfelének, miután 2021-ben megvásárolta a Tile Bluetooth-követő szolgáltatót.
Emlékezetes, hogy épp a múlt hónapban kerültek a címlapokra azzal, hogy feltörték a Tile ügyfélszolgálati platformját, és a rendszerből neveket, címeket, e-mail címekeket, telefonszámokat, és eszközazonosító számokat loptak el. Mindez arra is jól rámutat, hogy az ilyen típusú társaságok, amelyek nyomon követik az emberek tartózkodási helyét, a hackerek célpontjává válhatnak.