Un hacker ha accedido a herramientas internas utilizadas por la empresa de seguimiento de ubicación Tile, incluyendo una que procesa solicitudes de datos de ubicación para las fuerzas del orden, y ha robado una gran cantidad de datos de clientes, como nombres, direcciones físicas, correos electrónicos y números de teléfono, según datos y capturas de pantalla obtenidos por 404 Media.
Aunque los datos robados no incluyen la ubicación de los dispositivos Tile, que son pequeños aparatos que los usuarios colocan en objetos como llaves para monitorizarlos a distancia, esta brecha sigue siendo significativa. Muestra cómo herramientas destinadas para uso interno pueden ser accedidas y aprovechadas por hackers para recopilar datos sensibles en masa. Además, subraya cómo este tipo de empresas, que rastrean ubicaciones, pueden ser objetivos para los hackers.
«Basicamente tuve acceso a todo,» dijo el hacker a 404 Media en una conversación en línea. También afirmó haber solicitado un pago a Tile, sin recibir respuesta.
Tile, adquirida por Life360 en noviembre de 2021, vende diversos dispositivos de seguimiento que se pueden localizar a través de su aplicación. El hacker consiguió credenciales de inicio de sesión de un sistema de Tile que, según él, pertenecían a un ex empleado. Una herramienta específica permite «iniciar solicitudes de acceso a datos, ubicación o para las fuerzas del orden,» según una captura de pantalla.
En los últimos años, los hackers han apuntado repetidamente a herramientas utilizadas por empresas tecnológicas para proporcionar datos a las fuerzas del orden o para uso interno por parte del personal de la empresa. Por ejemplo, un hacker utilizó un sistema interno de Twitter para tomar el control de cuentas, y otro sobornó a un empleado de Roblox para usar herramientas de la empresa con fines maliciosos. Algunos incluso han instalado malware en telecomunicaciones estadounidenses para controlar herramientas internas de empleados.
Los hackers también comprometen cuentas de correo electrónico utilizadas por la policía o funcionarios gubernamentales para solicitar datos sensibles a empresas tecnológicas, haciéndose pasar por oficiales. Empresas como Facebook, TikTok y Apple han sido objetivos de estas tácticas.
404 Media verificó los datos seleccionando direcciones de correo electrónico al azar y tratando de crear nuevas cuentas en el sitio web de Tile, la mayoría ya estaban en uso. Además, contactaron a múltiples personas dentro de los datos.
Tile confirmó en un comunicado que un extorsionista los había contactado, afirmando haber utilizado credenciales comprometidas de administrador para acceder a un sistema de soporte al cliente. La plataforma de soporte contiene información limitada de los clientes, como nombres, direcciones, correos electrónicos, números de teléfono y números de identificación de dispositivos Tile, pero no incluye datos más sensibles como números de tarjetas de crédito, contraseñas, datos de ubicación o identificaciones gubernamentales.
Tile desactivó las credenciales comprometidas y tomó medidas rápidas para prevenir futuros accesos no autorizados. Afirmaron que no estaban al tanto de los datos robados hasta que 404 Media compartió muestras para más verificación.