Life360 称黑客从其 Tile 支持平台窃取了客户数据

Life360 透露，其遭到了一名身份不明的黑客的“刑事勒索”，该黑客声称拥有 Life360 Tile 应用程序的客户数据，该应用程序可让人们将小型追踪器附加到钥匙、钱包、自行车、足球包和手提箱等物品上。

在一个 6月11日声明Life360 表示，调查发现 Tile 客户支持平台遭到未经授权的访问。该公司表示，可能受影响的数据包括姓名、地址、电子邮件地址、电话号码和 Tile 设备识别号等信息。

Life360 很快补充说，被盗数据不包括更敏感的客户信息，例如信用卡号、密码或登录信息、位置数据或政府颁发的身份证号码，因为 Tile 客户支持平台不包含这些信息类型。

声明中写道：“我们已经采取并将继续采取措施，进一步保护我们的系统免受不良行为者的侵害，并且我们已向执法部门报告了这一事件和勒索企图。”

Life360 并未透露其系统受到何种影响以及该公司是否有意协商赎金等其他细节。

404 媒体报道 6 月 12 日，黑客称他们获得了 Tile 管理系统的登录凭据，并认为该凭据属于前 Tile 员工。Life360 此后已禁用该凭据并阻止未经授权访问其平台。

Pathlock 首席执行官 Piyush Pandey 表示，在这种情况下，访问权限似乎是使用前 Tile 员工的管理员凭据授予的，这指向身份安全的一个重要原则：能够在身份生命周期的加入、移动和离开阶段主动了解用户的访问权限和权利。

潘迪说：“似乎还缺乏多因素身份验证，这可能阻碍了仅使用用户名和密码授予访问权限。”

Keeper Security 的网络安全宣传员 Anne Cutler 补充说，攻击者利用被盗凭证访问 Tile 客户支持平台，这凸显了强大的网络防御的必要性。这包括实施严格的密码策略、保护特权凭证和强制执行最低特权访问。

“管理员账户应仅被授予其角色所需的最低限度的访问权限，从而大大降低网络犯罪分子在管理员账户被盗用时获取敏感数据和系统访问权限的风险，”Cutler 说道。“为了进一步增强管理员账户的安全性，组织还应优先考虑对管理员活动的持续监控和审计。”