Cyberangriff auf Tracker-Hersteller: Hacker greift Kundendaten von Tile ab
Der Bluetooth-Tracker-Hersteller Tile ist offenbar Ziel eines Cyberangriffs geworden, bei dem Kundendaten von einer Supportplattform abgeflossen sind. Wie das Unternehmen in einem Blogbeitrag(öffnet im neuen Fenster) erklärt, hat der Angreifer versucht, den Tile-Mutterkonzern und Tracking-App-Anbieter Life360 mit den abgegriffenen Daten zu erpressen.
"Wir erhielten E-Mails von einem unbekannten Akteur, der behauptete, im Besitz von Tile-Kundendaten zu sein" , erklärt Chris Hulls, der CEO von Life360. Das Unternehmen habe daraufhin Untersuchungen eingeleitet und einen unbefugten Zugriff auf eine Tile-Kundensupportplattform festgestellt.
Zu den betroffenen Kundendaten zählen demnach Namen, Anschriften, E-Mail-Adressen, Rufnummern und Identifikationsnummern von Tile-Geräten. Sensiblere Informationen wie Kreditkartennummern, Anmeldeinformationen, Standortdaten oder von Regierungen ausgestellte Identifikationsnummern seien jedoch nicht von dem Vorfall betroffen, da diese auf der betroffenen Plattform nicht gespeichert würden.
"Wir glauben, dass dieser Vorfall auf die oben beschriebenen spezifischen Tile-Kundensupportdaten beschränkt war und nicht weiter verbreitet ist" , erklärt Hulls weiter. Life360 habe bereits zusätzliche Maßnahmen ergriffen, um die eigenen Systeme vor bösartigen Akteuren zu schützen. Darüber hinaus habe das Unternehmen die Strafverfolgungsbehörden über den Vorfall informiert.
Zugangsdaten eines ehemaligen Mitarbeiters
Wann und wie der Angreifer die Supportplattform von Tile genau infiltrieren konnte und wie viele Kunden von dem Datenabfluss tatsächlich betroffen sind, erklärt der Life360-CEO nicht. Laut Bleeping Computer(öffnet im neuen Fenster) wollte sich das Unternehmen bisher nicht dazu äußern. Ein Sprecher habe lediglich erklärt, Tile arbeite weiterhin mit den Strafverfolgungsbehörden zusammen und habe derzeit keine weiteren Informationen zu dem Vorfall zu teilen.
404 Media sprach mit dem Angreifer(öffnet im neuen Fenster) , der dem Medium erklärte, er habe für den Zugriff gestohlene Zugangsdaten verwendet, von denen er glaube, sie gehörten einem ehemaligen Tile-Mitarbeiter. Die Kundendaten habe er anschließend durch "Millionen von Anfragen" abgreifen können. Neben den von Mulls genannten Informationen scheinen laut 404 Media auch Bestell- und Retourendaten sowie Details über verwendete Zahlungsmethoden betroffen zu sein.
Außerdem soll der Angreifer auch Zugriff auf ein Tool erhalten haben, das zur Bearbeitung von "Datenzugriffs-, Standort- oder Strafverfolgungsanfragen" verwendet wird. Benutzer können Tile-Kunden darin offenbar gezielt anhand bestimmter Daten wie etwa einer Rufnummer oder einer privaten Hash-ID suchen.
Im Jahr 2021 hatten ehemalige Mitarbeiter Life360 vorgeworfen, mit den Daten seiner Nutzer zu handeln . Der Verkauf der Nutzerdaten sei eine der Haupteinnahmequellen des Unternehmens, hieß es damals. Ende 2021 übernahm Life360 Tile für 205 Millionen US-Dollar .