文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

黑客入侵 Tile 内部工具,数百万用户数据或被泄露

2024-11-29 21:20

关注

据 404 Media 报道,黑客利用窃取的一名前 Tile 公司员工的凭证进入了公司内部工具,并访问了多个 Tile 系统,以窃取敏感数据。

这些数据包括用于转移 Tile 追踪器所有权、创建管理员账户和发送用户通知的工具,如黑客提供的截图所示。

黑客在数据泄露事件中可以访问的内容(图片来源:404 Media)

2024 年 6 月 11 日,Tile 的母公司、专注于定位数据的 Life360 表示,检测到有人未经授权访问其客户支持平台。根据该公司的新闻稿,Tile 成为了 "犯罪勒索企图 "的目标,一名身份不明的行为者告知他们拥有 Tile 的客户信息。

公司立即展开调查,发现有人未经授权访问了 Tile 客户支持平台,但没有访问 Tile 服务平台。该公司向用户保证,没有财务数据、密码或位置信息被泄露,因为该平台从未存储过这些数据。但用户的敏感数据可能会被暴露,包括姓名、实际地址、电子邮件地址、电话号码和 Tile 设备识别码。

Life360 首席执行官 Chris Hulls 表示:"我们认为,此次事件仅限于上述特定的 Tile 客户支持数据,并不具有更大的普遍性。”他重申了该公司保护客户信息的承诺,并采取措施保护其系统免受恶意行为者的侵害。

值得注意的是,该新闻稿不适用于美国以外的用户,截图如下:

该公司已经向执法部门报告了这一事件和勒索企图。然而,此次事件凸显了用户位置追踪公司的脆弱性,以及它们是如何成为黑客攻击目标的。

由于电子邮件地址被曝光,Tile 用户应谨防网络钓鱼,对要求提供个人信息或登录凭据的电子邮件保持警惕,并监控与 Tile 帐户相关的电子邮件和银行帐户上的可疑活动。

专家评论

总部位于新泽西州弗莱明顿的身份和访问安全提供商 Pathlock 首席执行官 Piyush Pandey 就数据泄露事件发表了评论,指出其中涉及多种因素,包括前员工或心怀不满的员工实施的潜在威胁以及缺乏安全认证。

“在这种情况下,访问权限似乎是使用 Tile 前员工的管理凭证授予的,这表明身份安全的一个关键要素——在身份生命周期的加入、移动和离开整个过程中,能够主动了解用户的访问和权限。”

此外,多因素身份验证也可能导致仅凭用户名和密码就能访问的情况不复存在。Piyush 补充说:这一漏洞还表明,除了保护主要业务线应用程序外,确保服务账户访问的安全性也至关重要。

Critical Start 网络威胁研究高级经理 Callie Guenther 强调了数据泄露事件后的重大威胁情报影响,包括有针对性的勒索、供应链漏洞、数据敏感性、事件响应等。Callie 建议采取以下措施保护管理员账户:

  1. 多因素身份验证(MFA): 要求所有管理员账户使用多因素身份验证(MFA),以增加额外的安全层。
  2. 强密码策略: 强制使用强大、唯一的密码,并定期更改密码。
  3. 最小特权原则: 只向需要的用户授予管理权限,尽量减少拥有高级访问权限的用户数量。
  4. 定期审计和监控: 持续监控和审计管理员账户活动,及时发现和应对可疑行为。
  5. 安全意识培训: 教育员工识别网络钓鱼企图,以及保护凭证的重要性。

参考来源:https://hackread.com/location-tracker-tile-data-breach-hackers/

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯