Dans un monde o la technologie de suivi est omniprsente, la scurit des donnes de localisation est devenue une proccupation majeure. Rcemment, un vnement troublant a mis en lumire les vulnrabilits potentielles des systmes comme Tile, ce traceur Bluetooth conu pour vous aider retrouver les objets perdus. Un pirate informatique a russi accder aux outils internes de lentreprise de suivi de localisation Tile, y compris ceux utiliss pour traiter les demandes de donnes de localisation par les forces de lordre.
Un pirate informatique a accd des outils internes utiliss par la socit de golocalisation Tile, dont un qui traite les demandes de donnes de localisation pour les forces de l’ordre, et a vol une grande quantit de donnes sur les clients, telles que leurs noms, adresses physiques, adresses lectroniques et numros de tlphone, selon des chantillons de donnes et des captures d’cran des outils.
Les donnes voles ne comprennent pas l’emplacement des dispositifs Tile, qui sont de petites pices de matriel que les utilisateurs attachent leurs cls ou d’autres objets pour les surveiller distance. Il s’agit nanmoins d’une violation importante qui montre comment des outils destins l’usage interne des employs d’une entreprise peuvent tre accessibles puis utiliss par des pirates pour collecter des donnes sensibles en masse. Elle montre galement que ce type d’entreprise, qui suit les dplacements de ses employs, peut devenir une cible pour les pirates.
En fait, j’avais accs tout , a dclar le pirate lors d’une discussion en ligne. Le pirate explique qu’il a galement demand Tile de le payer, mais qu’il n’a pas reu de rponse.
Tile vend divers dispositifs de localisation qui peuvent tre localiss grce l’application qui les accompagne. Life360, une autre socit spcialise dans les donnes de localisation, a rachet Tile en novembre 2021.
Le pirate dit avoir obtenu les identifiants de connexion un systme Tile qui, selon lui, appartenait un ancien employ de Tile. Un outil prcise qu’il peut tre utilis pour initier des demandes d’accs aux donnes, de localisation ou d’application de la loi . Les utilisateurs peuvent ensuite rechercher les clients de Tile par leur numro de tlphone ou un autre identifiant, selon une capture d’cran de l’outil.
Un menu droulant, slectionn dans la capture d’cran, indique aux utilisateurs de choisir un type de demande : « DATA_ACCESS », « LOCATION_HISTORY » et « LAW_ENFORCEMENT ».
Une recrudescence du ciblage des outils utiliss par les entreprises technologiques pour fournir des donnes la police
Ces dernires annes, les pirates informatiques ont rgulirement cibl les outils utiliss par les entreprises technologiques pour fournir des donnes aux forces de l’ordre ou ceux qui sont utiliss par le personnel de l’entreprise pour grer et accder aux donnes. Parfois, les pirates accdent l’outil lui-mme, comme lorsque l’un d’entre eux a utilis un systme interne de Twitter pour s’emparer de comptes. Dans un autre cas, un fraudeur a soudoy un initi de Roblox pour qu’il utilise les outils de cette socit des fins malveillantes. Certains pirates ont mme pris l’habitude d’installer des logiciels malveillants l’intrieur des tlcommunications amricaines afin de pouvoir contrler distance les outils internes des employs.
Les pirates compromettent galement les comptes de courrier lectronique utiliss par la police ou d’autres fonctionnaires, puis s’en servent pour demander des donnes sensibles aux entreprises et plateformes technologiques en se faisant passer pour l’agent des forces de l’ordre concern. Parmi les entreprises cibles figurent Facebook, TikTok et Apple.
Parmi les autres outils internes dont le pirate a fourni des captures d’cran figurent ceux permettant de transfrer la proprit de Tile d’une adresse lectronique une autre, de crer des utilisateurs administratifs et d’envoyer une notification push aux utilisateurs de Tile. Le pirate explique qu’il a dcid de ne pas utiliser cette fonctionnalit.
Les tests
Le pirate dit avoir ensuite accd un autre systme utilis par Tile, qui contenait les donnes des clients. Les chantillons donns par le pirate 404 Media comprenaient des noms, des adresses, des numros de tlphone, ainsi que des informations sur les commandes et les retours, et des dtails sur la mthode de paiement utilise.
partir de l, le pirate a dclar avoir rcupr les donnes. J’ai pu numrer les identifiants des clients. J’ai envoy des millions de requtes pour rcuprer les donnes .
404 Media a vrifi les donnes en slectionnant au hasard une srie d’adresses lectroniques dans les donnes, puis en les utilisant pour crer de nouveaux comptes sur le site web de Tile. Dans la plupart des cas, cela n’a pas t possible car l’adresse lectronique tait dj utilise par un client existant. 404 Media a galement contact par courrier lectronique plusieurs personnes figurant dans les donnes. Oui, c’est moi , a dclar une personne lorsque 404 Media lui a envoy toutes les donnes relatives son compte.
La raction de Tile
Tile a dclar :
Comme beaucoup d’autres entreprises, Life360 a rcemment t victime d’une tentative d’extorsion criminelle. Nous avons reu des courriels d’un acteur inconnu prtendant possder des informations sur les clients de Tile. Nous avons rapidement lanc une enqute sur l’incident potentiel et avons dtect un accs non autoris une plateforme d’assistance la clientle de Tile (mais pas notre plateforme de service Tile). Les donnes potentiellement affectes consistent en des informations telles que les noms, adresses, adresses lectroniques, numros de tlphone et numros d’identification des appareils Tile. Elles ne comprennent pas d’informations plus sensibles, telles que les numros de carte de crdit, les mots de passe ou les identifiants de connexion, les donnes de localisation ou les numros d’identification mis par le gouvernement, car la plateforme d’assistance la clientle de Tile ne contenait pas ces types d’informations.
Nous pensons que cet incident s’est limit aux donnes spcifiques de l’assistance clientle de Tile dcrites ci-dessus et qu’il n’est pas plus rpandu. Nous prenons cet vnement et la scurit des informations des clients au srieux. Nous avons pris et continuerons prendre des mesures destines mieux protger nos systmes contre les acteurs malveillants, et nous avons signal cet vnement et la tentative d’extorsion aux forces de l’ordre. Nous restons dtermins assurer la scurit des familles en ligne et dans le monde rel .
Dans sa dclaration, Tile a laiss entendre qu’elle ne savait pas quelles donnes avaient t drobes jusqu’ ce que 404 Media partage des chantillons de donnes pour une vrification plus approfondie. Une fois que vous nous avez fourni des donnes supplmentaires, nous avons enqut plus avant et dtermin qu’il s’agissait probablement de donnes provenant de la plateforme d’assistance la clientle de Tile qui a t touche. Nous vous remercions d’avoir port ces nouvelles informations notre attention , peut-on lire.
Tile a galement publi une version de cette dclaration sur son site web, mais seulement aprs que 404 Media a contact l’entreprise pour obtenir des commentaires et lui a prouv que les donnes voles taient exactes. Tile n’a pas rpondu directement la question de savoir si le pirate disposait de l’accs ncessaire pour effectuer une demande de donnes de localisation.
La scurit des donnes de localisation : une proccupation croissante
Dans lre numrique actuelle, la scurit des donnes de localisation est devenue une proccupation majeure pour les consommateurs. Lincident rcent impliquant laccs non autoris loutil interne Tile souligne la vulnrabilit de nos informations personnelles et la facilit avec laquelle elles peuvent tre exposes.
Vulnrabilit et Consquences
La brche de scurit chez Tile rvle une faille alarmante dans la protection des donnes de localisation. Les informations personnelles des utilisateurs, telles que les noms, adresses e-mail et numros de tlphone, ont t compromises, mettant en vidence le risque de telles technologies. Cette vulnrabilit naffecte pas seulement les individus sur le plan de la vie prive, mais elle peut galement avoir des rpercussions plus larges, notamment en termes de scurit personnelle et dusurpation didentit.
Confiance branle
Cet incident branle la confiance des consommateurs dans les dispositifs de suivi et les entreprises qui les grent. Il pose la question de savoir si les avantages de la commodit et de la scurit offerts par ces dispositifs lemportent sur les risques potentiels pour la vie prive. Les consommateurs sont dsormais confronts un dilemme : doivent-ils continuer utiliser ces technologies en sachant quils pourraient tre la cible de cyberattaques ?
Rponse des entreprises et rgulateurs
La rponse de Tile cet incident sera cruciale pour restaurer la confiance des consommateurs. Les entreprises doivent non seulement renforcer leurs mesures de scurit, mais aussi tre transparentes dans leur communication avec les utilisateurs concernant les violations de donnes. De plus, cet incident met en lumire le besoin dune rglementation plus stricte et dune surveillance gouvernementale pour assurer la protection des donnes de localisation.
Rle proactif des consommateurs
Les consommateurs ne doivent pas rester passifs face la protection de leurs donnes. Il est essentiel quils prennent des mesures proactives pour scuriser leurs informations, telles que lutilisation de mots de passe forts, la vrification des paramtres de confidentialit et la sensibilisation aux signes dactivits suspectes. Lducation sur la cyberscurit et la connaissance des droits en matire de protection des donnes sont galement des tapes importantes pour les consommateurs
Conclusion
Lincident de Tile est un rappel alarmant que, malgr les avantages de la technologie moderne, notre scurit numrique reste fragile. Il est impratif que les entreprises et les utilisateurs restent vigilants et prennent des mesures proactives pour scuriser leurs donnes. La cyberscurit nest pas seulement une responsabilit dentreprise, mais un effort collectif pour garantir la confiance dans lre numrique.
Source : Tile
Et vous ?
Quelle est votre raction initiale en apprenant quun pirate a pu accder aux donnes de localisation fournies aux forces de lordre ?
Dans quelle mesure tes-vous proccup par la possibilit que vos appareils de suivi puissent tre compromis ?
Comment valuez-vous le risque associ lutilisation de technologies de suivi dans votre vie quotidienne ?
Quelles actions concrtes pensez-vous que les entreprises technologiques devraient entreprendre pour prvenir de telles violations de donnes lavenir ?
Quel rle les gouvernements devraient-ils jouer pour rguler la collecte et lutilisation des donnes de localisation ?
Comment cet incident affecte-t-il votre confiance dans les dispositifs de suivi et les entreprises qui les fabriquent ?
Partageriez-vous volontairement vos donnes de localisation avec les forces de lordre pour aider rsoudre des crimes, sachant quelles pourraient tre vulnrables aux cyberattaques ?
Quelles mesures personnelles prenez-vous pour protger vos donnes de localisation et votre vie prive en ligne ?