Seorang pelaku ancaman telah membocorkan data yang berisi informasi pribadi dari 442.519 pelanggan Life360 yang didapatkan dengan memanfaatkan celah pada API login. Pelaku dengan nama ’emo’, mengungkapkan bahwa endpoint API yang tidak aman digunakan untuk mencuri data tersebut, karena menyediakan cara mudah untuk memverifikasi alamat email, nama, dan nomor telepon setiap pengguna yang terkena dampak. Pelaku mengatakan bahwa saat mencoba login ke akun Life360 di Android, endpoint login akan mengembalikan nama depan dan nomor telepon pengguna, yang hanya ada dalam respons API dan tidak terlihat oleh pengguna.
Jika seorang pengguna telah memverifikasi nomor telepon mereka, maka nomor tersebut akan dikembalikan sebagai nomor parsial seperti +14830. Menurut pelaku, Life360 telah memperbaiki celah API tersebut, dan permintaan tambahan kini mengembalikan nomor telepon pengganti. Pelanggaran data ini terjadi pada Maret 2024 dan pelaku mengklaim tidak terlibat dalam insiden tersebut. Pada hari Senin, pelaku yang sama juga membocorkan lebih dari 15 juta alamat email yang terkait dengan akun Trello yang dikumpulkan menggunakan API yang tidak aman pada Januari. Meskipun perusahaan tidak merespons permintaan komentar mengenai klaim pelaku, BleepingComputer mengonfirmasi bahwa informasi tersebut milik pelanggan Life360 yang sebenarnya dengan memverifikasi beberapa entri dalam data yang bocor.
Pada hari Kamis, Life360 juga mengungkapkan bahwa mereka menjadi target upaya pemerasan setelah para penyerang membobol platform dukungan pelanggan Tile dan mencuri informasi sensitif, termasuk nama, alamat, alamat email, nomor telepon, dan nomor identifikasi perangkat. Pelaku kemungkinan menggunakan kredensial yang dicuri dari mantan karyawan Tile untuk membobol berbagai sistem Tile, yang memungkinkan penemuan pengguna Tile, pembuatan pengguna admin, pengiriman peringatan kepada pengguna Tile, dan transfer kepemilikan perangkat Tile. Dengan sistem yang berbeda, penyerang juga mengumpulkan nama pelanggan Tile, alamat rumah dan email, nomor telepon, dan ID perangkat, mengirimkan jutaan permintaan sambil menghindari deteksi. Data yang terekspos “tidak mencakup informasi yang lebih sensitif, seperti nomor kartu kredit, kata sandi, kredensial login, data lokasi, atau nomor identifikasi yang diterbitkan pemerintah, karena platform dukungan pelanggan Tile tidak mengandung jenis informasi ini,” tambah CEO Life360 Chris Hulls. “Kami percaya insiden ini terbatas pada data dukungan pelanggan Tile yang dijelaskan di atas dan tidak lebih luas.” Perusahaan belum mengungkapkan kapan insiden Tile terdeteksi dan berapa banyak pelanggan yang terpengaruh oleh pelanggaran data tersebut. Life360 menyediakan pelacakan lokasi waktu nyata, layanan bantuan darurat di jalan, dan deteksi kecelakaan kepada lebih dari 66 juta anggota di seluruh dunia. Pada Desember 2021, perusahaan mengakuisisi penyedia layanan pelacakan Bluetooth Tile dalam kesepakatan senilai $205 juta. Juru bicara Life360 tidak segera tersedia saat BleepingComputer menghubungi hari ini untuk memberikan komentar tentang kebocoran data minggu ini dan mengonfirmasi apakah ini adalah insiden yang sama dengan pelanggaran Tile.
