Tile reportó un incidente de seguridad donde un hacker accedió a información personal de sus clientes, incluyendo nombres, direcciones físicas y de correo electrónico, números de teléfono y números de identificación de dispositivos. La compañía Life360, propietaria de Tile, aseguró que no se comprometieron datos sensibles como números de tarjetas de crédito, contraseñas, datos de ubicación de los dispositivos o identificaciones gubernamentales.
El CEO de Life360, Chris Hulls, explicó que la brecha ocurrió a través de una plataforma de soporte al cliente y no a través del servicio principal de Tile. A raíz de lo mismo, el hacker obtuvo acceso a herramientas internas de la empresa, incluyendo una que procesa solicitudes de datos de ubicación de las fuerzas del orden.
Este intruso utilizó credenciales de un ex empleado para acceder a estos sistemas. Entre las herramientas comprometidas, se encontraban funciones que permiten transferir la propiedad de un dispositivo de una dirección de correo electrónico a otra, crear cuentas de administrador y enviar notificaciones push a los usuarios. Tile desactivó estas credenciales tras detectar el acceso no autorizado.
Extorsión y respuesta de Tile
El hacker intentó extorsionar a Tile, demandando un pago a cambio de no divulgar la información robada, aunque no obtuvo respuesta. La empresa fue notificada del incidente cuando el hacker contactó a 404 Media, quienes verificaron la autenticidad de los datos al crear nuevas cuentas con las direcciones de correo electrónico comprometidas y contactar a los afectados. Life360 agradeció a 404 Media por la información adicional proporcionada, lo que les permitió identificar y mitigar el incidente.
Finalmente, la empresa aseguró haber tomado medidas para proteger sus sistemas y prevenir futuros accesos no autorizados. Además, informó del incidente a las autoridades y se comprometió a mantener la seguridad de sus usuarios tanto en línea como en el mundo real.
