
Un acteur de la menace a divulgué une base de données contenant les informations personnelles de 442 519 clients Life360 collectées en abusant d’une faille dans l’API de connexion.
Connus uniquement par leur identifiant « emo », ils ont déclaré que le point de terminaison d’API non sécurisé utilisé pour voler les données constituait un moyen simple de vérifier l’adresse e-mail, le nom et le numéro de téléphone de chaque utilisateur affecté.
« Lorsque vous tentez de vous connecter à un compte life360 sur Android, le point de terminaison de connexion renvoie le prénom et le numéro de téléphone de l’utilisateur, cela n’existait que dans la réponse de l’API et n’était pas visible pour l’utilisateur », a déclaré emo.
« Si un utilisateur avait vérifié son numéro de téléphone, il serait plutôt renvoyé sous la forme d’un numéro partiel comme +14830. »
Selon l’auteur de la menace, Life360 a depuis corrigé la faille de l’API et des demandes supplémentaires renvoient désormais un numéro de téléphone fictif.
Comme repéré pour la première fois par HackManac, la violation à l’origine de cette fuite de données s’est produite en mars 2024, emo affirmant qu’ils n’étaient pas à l’origine de l’incident.
Lundi, le même acteur de la menace a également divulgué plus de 15 millions d’adresses e-mail associées à des comptes Trello qui ont été collectées à l’aide d’une API non sécurisée en janvier.
Bien que la société n’ait pas répondu à une demande de commentaire concernant les allégations de l’auteur de la menace, Breachtrace a confirmé que les informations appartenaient à de vrais clients de Life360 en vérifiant plusieurs entrées dans les données divulguées.

Jeudi, Life360 a également révélé avoir été la cible d’une tentative d’extorsion après que des attaquants ont violé une plate-forme d’assistance client Tile et volé des informations sensibles, notamment des noms, adresses, adresses e-mail, numéros de téléphone et numéros d’identification d’appareil.
L’auteur de la menace a probablement utilisé les informations d’identification volées d’un ancien employé de Tile pour violer plusieurs systèmes Tile, ce qui a permis de trouver des utilisateurs Tile, de créer des utilisateurs administrateurs, de transmettre des alertes aux utilisateurs Tile et de transférer la propriété de l’appareil Tile, comme 404 Media l’a signalé pour la première fois la semaine dernière.
En utilisant un système différent, l’attaquant a également récupéré les noms des clients Tile, les adresses personnelles et électroniques, les numéros de téléphone et les identifiants des appareils, envoyant des millions de demandes tout en échappant à la détection.
Les données exposées « n’incluent pas d’informations plus sensibles, telles que les numéros de carte de crédit, les mots de passe ou les identifiants de connexion, les données de localisation ou les numéros d’identification émis par le gouvernement, car la plate-forme d’assistance client Tile ne contenait pas ces types d’informations », a ajouté Chris Hulls, PDG de Life360. « Nous pensons que cet incident s’est limité aux données d’assistance client Tile spécifiques décrites ci-dessus et n’est pas plus répandu. »
L’entreprise n’a pas encore révélé quand l’incident de tuile a été détecté et combien de clients ont été touchés par la violation de données qui en a résulté.
Life360 fournit un suivi de localisation en temps réel, des services d’assistance routière d’urgence et une détection d’accident à plus de 66 millions de membres dans le monde entier. En décembre 2021, la société a acquis le fournisseur de services de suivi Bluetooth Tile dans le cadre d’un accord de 205 millions de dollars.
Un porte-parole de Life360 n’était pas immédiatement disponible lorsque Breachtrace a contacté aujourd’hui pour commenter la fuite de données de cette semaine et confirmer s’il s’agissait du même incident que la violation de tuile.