Μια σημαντική παραβίαση δεδομένων επηρεάζει χιλιάδες χρήστες της υπηρεσίας Life360.
Επιτιθέμενοι διέρρευσαν μια βάση δεδομένων που περιέχει τα προσωπικά στοιχεία 442.519 πελατών της Life360, τα οποία φέρεται να συλλέχθηκαν χρησιμοποιώντας ένα σφάλμα στο API σύνδεσης.
Γνωστοί μόνο με το ψευδώνυμο “emo“, οι επιτιθέμενοι είπαν ότι το μη ασφαλές API endpoint παρείχε έναν εύκολο τρόπο επαλήθευσης της διεύθυνσης ηλεκτρονικού ταχυδρομείου, του ονόματος και του αριθμού τηλεφώνου των χρηστών.
“Κατά την προσπάθεια σύνδεσης σε έναν λογαριασμό life360 στο Android, το login endpoint επέστρεφε το όνομα και τον αριθμό τηλεφώνου του χρήστη. Αυτό υπήρχε μόνο στην απόκριση API και δεν ήταν ορατό στον χρήστη“, είπαν οι emo.
Δείτε επίσης: MarineMax: Η παραβίαση δεδομένων του Μαρτίου επηρεάζει 123.494 άτομα
“Εάν ένας χρήστης είχε επαληθεύσει τον αριθμό τηλεφώνου του, θα επέστρεφε ως μερικός αριθμός όπως +1******4830″.
Σύμφωνα με τους επιτιθέμενους, η Life360 έχει διορθώσει την ευπάθεια του API που επέτρεψε τη συλλογή και παραβίαση δεδομένων. Η παραβίαση που οδήγησε στη διαρροή δεδομένων της Life360 φαίνεται να έλαβε χώρα τον Μάρτιο του 2024, με τους emo να λένε ότι δεν ήταν πίσω από το περιστατικό.
Τη Δευτέρα, οι επιτιθέμενοι διέρρευσαν, επίσης, πάνω από 15 εκατομμύρια διευθύνσεις email που σχετίζονται με λογαριασμούς Trello.
Δείτε επίσης: Rite Aid: Η παραβίαση δεδομένων επηρεάζει 2,2 εκατ. πελάτες
Σύμφωνα με το BleepingComputer, οι πληροφορίες ανήκουν σε πραγματικούς πελάτες της Life360.
Την Πέμπτη, η Life360 αποκάλυψε επίσης ότι ήταν στόχος απόπειρας εκβιασμού, αφού κάποιοι hackers παραβίασαν μια πλατφόρμα υποστήριξης πελατών της Tile και έκλεψαν ευαίσθητες πληροφορίες, όπως ονόματα, διευθύνσεις, διευθύνσεις email, αριθμούς τηλεφώνου και αριθμούς αναγνώρισης συσκευών.
Ποιες είναι οι πιθανές συνέπειες για τους χρήστες;
- Οι χρήστες μπορεί να αντιμετωπίσουν κλοπή ταυτότητας, καθώς οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν τα προσωπικά τους στοιχεία για να δημιουργήσουν ψεύτικες ταυτότητες ή να αποκτήσουν πρόσβαση σε άλλους λογαριασμούς τους.
- Η διαρροή των προσωπικών τους δεδομένων μπορεί να οδηγήσει σε στοχευμένες επιθέσεις phishing, όπου οι επιτιθέμενοι χρησιμοποιούν τις πληροφορίες για να πείσουν τους χρήστες να αποκαλύψουν περαιτέρω ευαίσθητα δεδομένα.
Δείτε επίσης: Η BMW Χονγκ Κονγκ αντιμετωπίζει σοβαρή παραβίαση δεδομένων
- Η διαρροή των δεδομένων μπορεί να οδηγήσει σε παραβίαση της ιδιωτικότητας των χρηστών, καθώς οι προσωπικές τους πληροφορίες μπορεί να χρησιμοποιηθούν χωρίς τη συγκατάθεσή τους για διάφορους σκοπούς.
- Οι χρήστες μπορεί να αντιμετωπίσουν στρες και άγχος, γνωρίζοντας ότι τα προσωπικά τους δεδομένα έχουν εκτεθεί και μπορεί να χρησιμοποιηθούν κακόβουλα.
- Οι χρήστες μπορεί να χρειαστεί να επενδύσουν χρόνο και πόρους για να αποκαταστήσουν την ασφάλεια των λογαριασμών τους και να προστατεύσουν τα προσωπικά τους δεδομένα στο μέλλον.
Πηγή: www.bleepingcomputer.com
