Fuga di dati Life360: hackerati numeri di telefono di 442.000 utenti

Un grave incidente di sicurezza ha colpito Life360, con la divulgazione online delle informazioni personali di oltre 442.000 utenti. L’hacker, noto con il nickname "emo", ha pubblicato un database contenente nomi, indirizzi email e numeri di telefono, ottenuti sfruttando una vulnerabilità nell'API di login dell'app.

Emo ha spiegato che l'endpoint di login di Life360 su Android restituiva questi dati nella risposta, senza che l'utente ne fosse consapevole. Se un numero di telefono era verificato, veniva mostrato solo parzialmente, come ad esempio "+1******4830".

Life360 ha risolto rapidamente il problema, facendo sì che le richieste successive restituissero un numero di telefono fittizio. Tuttavia, la fuga di dati risale a marzo 2024, come scoperto da HackManac. Emo ha chiarito di non essere responsabile dell'intrusione iniziale. Oltre a questo incidente, lunedì scorso lo stesso hacker ha pubblicato oltre 15 milioni di indirizzi email di utenti Trello, sfruttando un'altra API non protetta a gennaio.

Il CEO di Life360 assicura che non sono stati trafugati dati estremamente sensibili

La situazione di Life360 è ulteriormente complicata da un tentativo di estorsione rivelato giovedì. Gli hacker hanno avuto accesso alla piattaforma di supporto clienti di Tile, acquisita da Life360 nel dicembre 2021 per 205 milioni di dollari, rubando dati come nomi, indirizzi, email, numeri di telefono e codici identificativi dei dispositivi. Secondo quanto riportato da 404 Media, gli hacker hanno utilizzato le credenziali rubate a un ex dipendente per infiltrarsi nei sistemi di Tile, potendo così localizzare utenti, creare account amministratore, inviare notifiche e trasferire la proprietà dei dispositivi.

Chris Hulls, CEO di Life360, ha dichiarato che i dati esposti non includono informazioni altamente sensibili come numeri di carte di credito, password, dati sulla posizione o numeri identificativi rilasciati dallo stato, poiché tali informazioni non sono archiviate nella piattaforma di supporto clienti di Tile. Hulls ha assicurato che l'incidente è limitato ai dati dell'assistenza clienti di Tile e non ha un impatto più ampio.

Life360, che offre servizi di tracciamento della posizione in tempo reale, assistenza stradale d'emergenza e rilevamento degli incidenti a oltre 66 milioni di utenti globalmente, non ha rilasciato dichiarazioni ufficiali riguardo alla fuga di dati e non ha confermato se l'incidente coinvolga anche la violazione di Tile.