数百万Tile用户的数据可能在数据泄露中暴露。黑客访问了内部工具，但没有泄露任何财务信息或位置数据。请谨慎对待网络钓鱼企图。

Tile是领先的蓝牙位置跟踪设备供应商之一，在最近的一次数据泄露事件中，其数百万用户的个人信息可能被泄露，并导致用户提出赎金要求。

据404 Media报道，黑客利用窃取的Tile前员工凭证访问了公司内部工具，并访问了多个Tile系统以窃取敏感数据。

这些数据包括用于转移Tile跟踪器所有权、创建管理员账户和发送用户通知的工具，如攻击者提供的屏幕截图所示。

2024年6月11日，专注于位置数据的Life360（Tile的母公司）宣布检测到未经授权访问其客户支持平台。根据该公司的新闻稿，Tile遭到“犯罪勒索企图”的攻击，一名身份不明的犯罪分子告知他们拥有Tile的客户信息。

该公司立即展开调查，发现有人未经授权访问Tile客户支持平台，但未访问Tile服务平台。尽管该公司向用户保证，平台从未存储过任何财务数据、密码或位置信息，因此不会泄露这些数据，但敏感的用户数据可能会被泄露，包括姓名、实际地址、电子邮件地址、电话号码和Tile设备识别号。

Life360首席执行官Chris Hulls表示：“我们认为这起事件仅限于上述特定的Tile客户支持数据，影响并不大”，他重申了他们对保护客户信息的承诺，并采取措施保护他们的系统免受不良行为者的侵害。

值得注意的是，该新闻稿不适用于美国以外的用户，因此其截图如下：

该公司已向执法部门报告了这一事件和勒索企图。然而，这一违规行为凸显了追踪人们位置的公司的脆弱性，以及它们如何成为黑客的目标。

Tile用户应警惕网络钓鱼攻击，因为电子邮件地址已被暴露。警惕要求提供个人信息或登录凭据的电子邮件。监控您的帐户，查看与您的Tile帐户关联的电子邮件和银行帐户中是否存在可疑活动。

位于新泽西州弗莱明顿的身份和访问安全提供商Pathlock的首席执行官Piyush Pandey对此次数据泄露事件发表了评论，指出其中涉及多种因素，包括前员工或心怀不满的员工发起的潜在威胁以及缺乏安全认证。

“在这种情况下，似乎是使用前Tile员工的管理员凭据授予访问权限的，这指向身份安全的一个关键原则——能够在身份生命周期的加入者、移动者和离开者部分主动查看用户的访问权限和权利。”

“似乎还缺乏多因素身份验证，这可能阻碍了仅使用用户名和密码授予访问权限。这一漏洞还表明，除了主要业务线应用程序之外，保护服务帐户访问权限也至关重要，”Piyush补充道。

Critical Start网络威胁研究高级经理Callie Guenther强调了数据泄露后出现的重大威胁情报影响，包括有针对性的勒索、供应链漏洞、数据敏感性、事件响应等。Callie还建议实施以下措施来保护管理员帐户：

1. 多重身份验证(MFA)：要求所有管理员帐户都使用MFA，以增加额外的安全性。
2. 强密码策略：强制使用强且独特的密码并定期更改密码。
3. 最小特权原则：仅向需要的人授予管理权限，最大限度地减少具有高级访问权限的用户数量。
4. 定期审计和监控：持续监控和审计管理员帐户活动，以便及时发现和应对可疑行为。
5. 安全意识培训：教育员工识别网络钓鱼企图以及保护凭证的重要性。