Et vole une grande quantité de données sur les clients
Dans un monde où la technologie de suivi est omniprésente, la sécurité des données de localisation est devenue une préoccupation majeure. Récemment, un événement troublant a mis en lumière les vulnérabilités potentielles des systèmes comme Tile, ce traceur Bluetooth conçu pour vous aider à retrouver les objets perdus. Un pirate informatique a réussi à accéder aux outils internes de l’entreprise de suivi de localisation Tile, y compris ceux utilisés pour traiter les demandes de données de localisation par les forces de l’ordre.
Un pirate informatique a accédé à des outils internes utilisés par la société de géolocalisation Tile, dont un qui traite les demandes de données de localisation pour les forces de l’ordre, et a volé une grande quantité de données sur les clients, telles que leurs noms, adresses physiques, adresses électroniques et numéros de téléphone, selon des échantillons de données et des captures d’écran des outils.
Les données volées ne comprennent pas l’emplacement des dispositifs Tile, qui sont de petites pièces de matériel que les utilisateurs attachent à leurs clés ou à d’autres objets pour les surveiller à distance. Il s’agit néanmoins d’une violation importante qui montre comment des outils destinés à l’usage interne des employés d’une entreprise peuvent être accessibles puis utilisés par des pirates pour collecter des données sensibles en masse. Elle montre également que ce type d’entreprise, qui suit les déplacements de ses employés, peut devenir une cible pour les pirates.
« En fait, j’avais accès à tout », a déclaré le pirate lors d’une discussion en ligne. Le pirate explique qu’il a également demandé à Tile de le payer, mais qu’il n’a pas reçu de réponse.
Tile vend divers dispositifs de localisation qui peuvent être localisés grâce à l’application qui les accompagne. Life360, une autre société spécialisée dans les données de localisation, a racheté Tile en novembre 2021.
Le pirate dit avoir obtenu les identifiants de connexion à un système Tile qui, selon lui, appartenait à un ancien employé de Tile. Un outil précise qu’il peut être utilisé pour « initier des demandes d’accès aux données, de localisation ou d’application de la loi ». Les utilisateurs peuvent ensuite rechercher les clients de Tile par leur numéro de téléphone ou un autre identifiant, selon une capture d’écran de l’outil.
Un menu déroulant, sélectionné dans la capture d’écran, indique aux utilisateurs de choisir un type de demande : “DATA_ACCESS”, “LOCATION_HISTORY” et “LAW_ENFORCEMENT”.
Une recrudescence du ciblage des outils utilisés par les entreprises technologiques pour fournir des données à la police
Ces dernières années, les pirates informatiques ont régulièrement ciblé les outils utilisés par les entreprises technologiques pour fournir des données aux forces de l’ordre ou ceux qui sont utilisés par le personnel de l’entreprise pour gérer et accéder aux données. Parfois, les pirates accèdent à l’outil lui-même, comme lorsque l’un d’entre eux a utilisé un système interne de Twitter pour s’emparer de comptes. Dans un autre cas, un fraudeur a soudoyé un initié de Roblox pour qu’il utilise les outils de cette société à des fins malveillantes. Certains pirates ont même pris l’habitude d’installer des logiciels malveillants à l’intérieur des télécommunications américaines afin de pouvoir contrôler à distance les outils internes des employés.
Les pirates compromettent également les comptes de courrier électronique utilisés par la police ou d’autres fonctionnaires, puis s’en servent pour demander des données sensibles aux entreprises et plateformes technologiques en se faisant passer pour l’agent des forces de l’ordre concerné. Parmi les entreprises ciblées figurent Facebook, TikTok et Apple.
Parmi les autres outils internes dont le pirate a fourni des captures d’écran figurent ceux permettant de transférer la propriété de Tile d’une adresse électronique à une autre, de créer des utilisateurs administratifs et d’envoyer une notification push aux utilisateurs de Tile. Le pirate explique qu’il a décidé de ne pas utiliser cette fonctionnalité.
Les tests
Le pirate dit avoir ensuite accédé à un autre système utilisé par Tile, qui contenait les données des clients. Les échantillons donnés par le pirate à 404 Media comprenaient des noms, des adresses, des numéros de téléphone, ainsi que des informations sur les commandes et les retours, et des détails sur la méthode de paiement utilisée.
À partir de là, le pirate a déclaré avoir récupéré les données. « J’ai pu énumérer les identifiants des clients. J’ai envoyé des millions de requêtes pour récupérer les données ».
404 Media a vérifié les données en sélectionnant au hasard une série d’adresses électroniques dans les données, puis en les utilisant pour créer de nouveaux comptes sur le site web de Tile. Dans la plupart des cas, cela n’a pas été possible car l’adresse électronique était déjà utilisée par un client existant. 404 Media a également contacté par courrier électronique plusieurs personnes figurant dans les données. « Oui, c’est moi », a déclaré une personne lorsque 404 Media lui a envoyé toutes les données relatives à son compte.
La réaction de Tile
Tile a déclaré :
« Comme beaucoup d’autres entreprises, Life360 a récemment été victime d’une tentative d’extorsion criminelle. Nous avons reçu des courriels d’un acteur inconnu prétendant posséder des informations sur les clients de Tile. Nous avons rapidement lancé une enquête sur l’incident potentiel et avons détecté un accès non autorisé à une plateforme d’assistance à la clientèle de Tile (mais pas à notre plateforme de service Tile). Les données potentiellement affectées consistent en des informations telles que les noms, adresses, adresses électroniques, numéros de téléphone et numéros d’identification des appareils Tile. Elles ne comprennent pas d’informations plus sensibles, telles que les numéros de carte de crédit, les mots de passe ou les identifiants de connexion, les données de localisation ou les numéros d’identification émis par le gouvernement, car la plateforme d’assistance à la clientèle de Tile ne contenait pas ces types d’informations.
« Nous pensons que cet incident s’est limité aux données spécifiques de l’assistance clientèle de Tile décrites ci-dessus et qu’il n’est pas plus répandu. Nous prenons cet événement et la sécurité des informations des clients au sérieux. Nous avons pris et continuerons à prendre des mesures destinées à mieux protéger nos systèmes contre les acteurs malveillants, et nous avons signalé cet événement et la tentative d’extorsion aux forces de l’ordre. Nous restons déterminés à assurer la sécurité des familles en ligne et dans le monde réel ».
Dans sa déclaration, Tile a laissé entendre qu’elle ne savait pas quelles données avaient été dérobées jusqu’à ce que 404 Media partage des échantillons de données pour une vérification plus approfondie. « Une fois que vous nous avez fourni des données supplémentaires, nous avons enquêté plus avant et déterminé qu’il s’agissait probablement de données provenant de la plateforme d’assistance à la clientèle de Tile qui a été touchée. Nous vous remercions d’avoir porté ces nouvelles informations à notre attention », peut-on lire.
Tile a également publié une version de cette déclaration sur son site web, mais seulement après que 404 Media a contacté l’entreprise pour obtenir des commentaires et lui a prouvé que les données volées étaient exactes. Tile n’a pas répondu directement à la question de savoir si le pirate disposait de l’accès nécessaire pour effectuer une demande de données de localisation.
La sécurité des données de localisation : une préoccupation croissante
Dans l’ère numérique actuelle, la sécurité des données de localisation est devenue une préoccupation majeure pour les consommateurs. L’incident récent impliquant l’accès non autorisé à l’outil interne ‘Tile’ souligne la vulnérabilité de nos informations personnelles et la facilité avec laquelle elles peuvent être exposées.
Vulnérabilité et Conséquences
La brèche de sécurité chez Tile révèle une faille alarmante dans la protection des données de localisation. Les informations personnelles des utilisateurs, telles que les noms, adresses e-mail et numéros de téléphone, ont été compromises, mettant en évidence le risque de telles technologies. Cette vulnérabilité n’affecte pas seulement les individus sur le plan de la vie privée, mais elle peut également avoir des répercussions plus larges, notamment en termes de sécurité personnelle et d’usurpation d’identité.
Confiance ébranlée
Cet incident ébranle la confiance des consommateurs dans les dispositifs de suivi et les entreprises qui les gèrent. Il pose la question de savoir si les avantages de la commodité et de la sécurité offerts par ces dispositifs l’emportent sur les risques potentiels pour la vie privée. Les consommateurs sont désormais confrontés à un dilemme : doivent-ils continuer à utiliser ces technologies en sachant qu’ils pourraient être la cible de cyberattaques ?
Réponse des entreprises et régulateurs
La réponse de Tile à cet incident sera cruciale pour restaurer la confiance des consommateurs. Les entreprises doivent non seulement renforcer leurs mesures de sécurité, mais aussi être transparentes dans leur communication avec les utilisateurs concernant les violations de données. De plus, cet incident met en lumière le besoin d’une réglementation plus stricte et d’une surveillance gouvernementale pour assurer la protection des données de localisation.
Rôle proactif des consommateurs
Les consommateurs ne doivent pas rester passifs face à la protection de leurs données. Il est essentiel qu’ils prennent des mesures proactives pour sécuriser leurs informations, telles que l’utilisation de mots de passe forts, la vérification des paramètres de confidentialité et la sensibilisation aux signes d’activités suspectes. L’éducation sur la cybersécurité et la connaissance des droits en matière de protection des données sont également des étapes importantes pour les consommateurs
L’incident de Tile est un rappel alarmant que, malgré les avantages de la technologie moderne, notre sécurité numérique reste fragile. Il est impératif que les entreprises et les utilisateurs restent vigilants et prennent des mesures proactives pour sécuriser leurs données. La cybersécurité n’est pas seulement une responsabilité d’entreprise, mais un effort collectif pour garantir la confiance dans l’ère numérique.
source: developpez