Dans un monde où la technologie de suivi est omniprésente, la sécurité des données de localisation est devenue une préoccupation majeure. Récemment, un événement troublant a mis en lumière les vulnérabilités potentielles des systèmes comme Tile, ce traceur Bluetooth conçu pour vous aider à retrouver les objets perdus. Un pirate informatique a réussi à accéder aux outils internes de l’entreprise de suivi de localisation Tile, y compris ceux utilisés pour traiter les demandes de données de localisation par les forces de l’ordre.Un pirate informatique a accédé à des outils internes utilisés par la société de géolocalisation Tile, dont un qui traite les demandes de données de localisation pour les forces de l'ordre, et a volé une grande quantité de données sur les clients, telles que leurs noms, adresses physiques, adresses électroniques et numéros de téléphone, selon des échantillons de données et des captures d'écran des outils.
Les données volées ne comprennent pas l'emplacement des dispositifs Tile, qui sont de petites pièces de matériel que les utilisateurs attachent à leurs clés ou à d'autres objets pour les surveiller à distance. Il s'agit néanmoins d'une violation importante qui montre comment des outils destinés à l'usage interne des employés d'une entreprise peuvent être accessibles puis utilisés par des pirates pour collecter des données sensibles en masse. Elle montre également que ce type d'entreprise, qui suit les déplacements de ses employés, peut devenir une cible pour les pirates.
« En fait, j'avais accès à tout », a déclaré le pirate lors d'une discussion en ligne. Le pirate explique qu'il a également demandé à Tile de le payer, mais qu'il n'a pas reçu de réponse.
Tile vend divers dispositifs de localisation qui peuvent être localisés grâce à l'application qui les accompagne. Life360, une autre société spécialisée dans les données de localisation, a racheté Tile en novembre 2021.
Le pirate dit avoir obtenu les identifiants de connexion à un système Tile qui, selon lui, appartenait à un ancien employé de Tile. Un outil précise qu'il peut être utilisé pour « initier des demandes d'accès aux données, de localisation ou d'application de la loi ». Les utilisateurs peuvent ensuite rechercher les clients de Tile par leur numéro de téléphone ou un autre identifiant, selon une capture d'écran de l'outil.
Un menu déroulant, sélectionné dans la capture d'écran, indique aux utilisateurs de choisir un type de demande : "DATA_ACCESS", "LOCATION_HISTORY" et "LAW_ENFORCEMENT".
Une recrudescence du ciblage des outils utilisés par les entreprises technologiques pour fournir des données à la police
Ces dernières années, les pirates informatiques ont régulièrement ciblé les outils utilisés par les entreprises technologiques pour fournir des données aux forces de l'ordre ou ceux qui sont utilisés par le personnel de l'entreprise pour gérer et accéder aux données. Parfois, les pirates accèdent à l'outil lui-même, comme lorsque l'un d'entre eux a utilisé un système interne de Twitter pour s'emparer de comptes. Dans un autre cas, un fraudeur a soudoyé un initié de Roblox pour qu'il utilise les outils de cette société à des fins malveillantes. Certains pirates ont même pris l'habitude d'installer des logiciels malveillants à l'intérieur des télécommunications américaines afin de pouvoir contrôler à distance les outils internes des employés.
Les pirates compromettent également les comptes de courrier électronique utilisés par la police ou d'autres fonctionnaires, puis s'en servent pour demander des données sensibles aux entreprises et plateformes technologiques en se faisant passer pour l'agent des forces de l'ordre concerné. Parmi les entreprises ciblées figurent Facebook, TikTok et Apple.
Parmi les autres outils internes dont le pirate a fourni des captures d'écran figurent ceux permettant de transférer la propriété de Tile d'une adresse électronique à une autre, de créer des utilisateurs administratifs et d'envoyer une notification push aux utilisateurs de Tile. Le pirate explique qu'il a décidé de ne pas utiliser cette fonctionnalité.
Les tests
Le pirate dit avoir ensuite accédé à un autre système utilisé par Tile, qui contenait les données des clients. Les échantillons donnés par le pirate à 404 Media comprenaient des noms, des adresses, des numéros de téléphone, ainsi que des informations sur les commandes et les retours, et des détails sur la méthode de paiement utilisée.
À partir de là, le pirate a déclaré avoir récupéré les données. « J'ai pu énumérer les identifiants des clients. J'ai envoyé des millions de requêtes pour récupérer les données ».
404 Media a vérifié les données...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.