„Miałem dostęp do wszystkiego”. Wrażliwe dane posiadaczy lokalizatorów w rękach hakera

Mamy je w walizkach, wrzucamy do plecaka i przypinamy do kluczy. Niewielkie lokalizatory stały się w ostatnich latach niezwykle popularne, choć liczne incydenty z nimi związane pokazują, że nie są to do końca bezpieczne urządzenia. Dotychczas głośne afery dotyczyły głównie AirTagów od Apple, ale tym razem sprawa dotyczy konkurencyjnego akcesorium od Tile. Hakerowi udało się pozyskać dostęp do narzędzi, które otworzyły wrota do bazy wrażliwych danych klientów.

Haker z dostępem do narzędzi administratora

Tile to niewielkie lokalizatory, które – w zależności od modelu – możecie kupić za około 100 zł (przykładowo na Amazon). W Polsce ich popularność jest niewielka, ale za oceanem korzystają z nich tysiące użytkowników. Dane tej licznej grupy trafiły w ręce anonimowego hakera, który uzyskał dostęp do panelu logowania platformy obsługi klienta, pochodzące od byłego pracownika Tile.

To gigantyczne naruszenie sprawiło, że w ręce cyberprzestępcy wpadły dane osobowe, adresy, numery telefonu, maile i informacje o stosowanych metodach płatności. Haker udzielił komentarza portalowi 404 media, chwaląc się między innymi tym, że zyskał także dostęp do narzędzia, które przetwarza żądania danych o lokalizacji na potrzeby organów ścigania.

„W zasadzie miałem dostęp do wszystkiego” – skwitował haker. Panel administracyjny dawał bowiem dostęp do szeregu innych narzędzi, między innymi do tworzenia nowych administratorów i możliwości wysyłania na urządzenia klientów Tile powiadomień push. Sprawca podzielił się nawet zrzutem ekranu jednego z narzędzi, który możecie zobaczyć poniżej.

Czytaj dalej poniżej

Apex Legends zhakowane. Gracze panikują, a twórcy milczą Piotr Kurek

Wielki wyciek z Facebooka. Ofiarą padły dane setek tysięcy użytkowników Patryk Koncewicz

Następnie skontaktował się z Tile z żądaniem okupu, ale firma nie uległa presji i postanowiła zareagować w inny sposób.

Gdyby nie dziennikarze, Tile nie dowiedziałoby się o skali problemu

Przedstawiciele Tile faktycznie potwierdzili atak i wyciek danych, ale nie było mowy o żadnym przekazaniu pieniędzy. Firma informuje, że wszczęto dochodzenie i załatano luki.

„Niedawno skontaktował się z nami szantażysta, twierdząc, że użył skompromitowanych danych uwierzytelniających administratora Tile, aby uzyskać dostęp do systemu Tile i danych klientów. Natychmiast wszczęliśmy dochodzenie w sprawie potencjalnego zdarzenia. Nasze dochodzenie wykazało, że niektóre dane administratora zostały wykorzystane przez nieuprawnioną osobę w celu uzyskania dostępu do platformy obsługi klienta Tile, ale nie do naszej platformy usług Tile” – fragment oświadczenia Tile

Producent lokalizatorów broni się jednak tym, że haker nie miał dostępu do szczegółowych danych lokalizacyjnych i przypisanych do konta kart kredytowych, ale dla klientów Tile to marne pocieszenie. W oświadczeniu przekazano też, że podjęto działania mające na celu zapobieganie w przyszłości nieautoryzowanemu dostępowi do platformy obsługi klienta, a dane logowania używane przez hakera zostały dezaktywowane.

Co ciekawe jednak Tile nie było do końca świadome, jakie informacje zostały pozyskane, a firma dowiedziała się o tym dopiero po interwencji dziennikarzy. Cóż, o amerykańskiej firmie świadczy to bardzo źle i powinno być dla Was wyraźnym znakiem, że przed zakupem ich produktów powinniście zastanowić się dwa razy. Nie wiadomo bowiem, co stało się z nieokreśloną ilością danych klientów, które haker zdążył pozyskać – z uwagi na to, że firma nie zdecydowała się opłacić okupu, zapewne trafiły one na czarny rynek.

Źródło obrazka wyróżniającego: Tile