近日，攻击者利用一个不安全Android API应用，非法收集了44.3万名Life360用户的个人信息。Life360是一家位置跟踪服务提供商，为全球超过6600万会员提供实时位置跟踪、紧急道路救援服务和碰撞检测。

绰号为“emo”的攻击者表示，Life360用户尝试在Android设备上登录Life360账户时，登录端点会向API返回用户的名字和电话号码，但是用户对此不会察觉。通过这个端点，攻击者可以方便地获取每个受影响用户的电子邮件地址、姓名和电话号码。目前，Life360表示已经修复了这个API漏洞。

来源：安全牛