Life360遭遇网络勒索事件

关键要点

Life360遭遇了一起未知黑客的“刑事勒索”事件，声称拥有客户数据。洞察显示有未经授权的访问Tile客户支持平台。被影响的数据包括姓名、地址、电子邮件和电话号码，未包含敏感信息。公司已报告此事件并采取措施保护系统安全。

Life360近期披露，遭受了一位未知黑客的“刑事勒索”企图，该黑客宣称掌握了客户数据，涉及其Tile应用程序。Tile应用让用户可以将小型追踪器附加到钥匙、钱包、自行车、足球包和行李箱等物品上。

在6月11日的声明中，Life360表示，经过调查发现其Tile客户支持平台存在未经授权的访问。公司称，潜在受到影响的数据包括姓名、地址、电子邮件、电话号码和Tile设备识别号码等信息。

Life360迅速补充道，虽然数据被盗，但不包括敏感的客户信息，例如信用卡号码、密码或登录信息、位置数据，以及政府签发的身份证明号码，因为Tile客户支持平台未包含这些信息类型。

声明中指出：“我们已采取并将继续采取措施，以进一步保护我们的系统免受恶意行为者的攻击，并已将此事件和勒索企图报告给执法机关。”

Life360并未详细说明其系统受到了何种影响，亦未表示是否打算协商赎金支付。

据404 Media报道指出，黑客称其获取了一个Tile管理员系统的登录凭据，且该凭据据说属于一名前Tile员工。此后，Life360已禁用该凭据并阻止对其平台的未经授权访问。

Pathlock的首席执行官Piyush Pandey指出，在本案例中，似乎是由于前Tile员工的管理员凭证被滥用，强调了身份安全的一个重要原则：在用户生命周期的加入、变更和离职阶段，需对用户的访问和权限有前瞻性的可见性。

Pandey还提到：“似乎缺乏多重身份验证，只用用户名和密码就可以轻易地获得访问权限，这本可以阻止这一情况发生。”

Keeper Security的网络安全推广者Anne Cutler补充道，攻击者利用被妥协的凭据访问Tile客户支持平台的事件强调了建立强大网络防御的必要性。这包括实施严格的密码策略、确保特权凭据的安全性，并强制最低权限访问。

Cutler表示：“管理员账户应仅获得其角色所需的最低访问权限，这显著降低了网络犯罪分子在管理员账户被入侵时访问敏感数据和系统的风险。同时，为了进一步提升管理员账户的安全性，组织应优先重视对管理员活动的持续监控与审计。”