Un ciberdelincuente tuvo acceso no autorizado a una plataforma interna del fabricante de dispositivos de localización Tile, un ataque que resultó en el robo de una gran cantidad de datos de clientes, como sus nombres o sus números de teléfono.
Tile es una compañía tecnológica estadounidense especializada en dispositivos con conectividad Bluetooth, entre cuyos productos se encuentra Sticker, un botón adhesivo que funciona como un Air Tag de Apple.
Un agente malicioso habría obtenido recientemente acceso a herramientas internas utilizadas por Tile, entre las que se incluyen una que procesa solicitudes de datos de ubicación para las autoridades y agentes del orden.
Así lo ha adelantado 404 Media en base a una serie de muestras de datos y capturas de pantallas de Tile a las que ha tenido acceso, confirmando que los datos robados en sí no incluyen la ubicación de los dispositivos Tile.
Para conocer estos datos, el ciberdelincuente obtuvo las credenciales de inicio de sesión para un sistema de este fabricante de hardware que podría pertenecer a uno de sus exempleados, tal y como ha confirmado a este mismo medio.
Así lo ha compartido 404 Media, que ha indicado que este ciberdelincuente robó una gran cantidad de datos de clientes, como sus nombres, direcciones físicas, direcciones de correo electrónico, detalles sobre diferentes métodos de pago o números de teléfono.
Este medio ha verificado los datos aportados por el hacker, seleccionando de forma aleatoria una serie de direcciones de correo electrónico, con las que se habría puesto en contacto para verificar que se trata de directorios existentes. Algunos de los afectados confirmaron tener esas direcciones registradas en Tile.
Desde Life360, que adquirió Tile a finales de 2021, ha reconocido en un comunicado haber sido "víctima de un intento de extorsión criminal" y que ha recibido comunicaciones de parte de un actor desconocido "que afirmaba poseer información de clientes de Tile".
La firma ha comentado también que "inmediatamente" después de conocer los hechos, inició una investigación sobre el posible incidente de seguridad y detectó "acceso no autorizado a una plataforma de atención al cliente de Tile", pero no a su plataforma de servicio.
Con ello, ha insistido en que los datos potencialmente afectados consisten en información como nombres, direcciones de correo electrónico y números de teléfono. Sin embargo, ha negado que en este robo esté incluida "información más confidencial", como contraseñas de inicio de sesión, ubicación o número de la tarjeta de crédito, porque el servicio vulnerado no contenía este tipo de información.
Por último, Life360 ha indicado que cree que este incidente "se limitó" específicamente a esta plataforma y que "no está más extendido". Con ello, ha aclarado que seguirá tomando "medidas diseñadas para proteger aún más" sus sistemas.