Инвестиционная компания Muddy Waters Research LLC заявила, что страховая компания Lemonade имеет на своем веб-сайте «непростительную брешь в безопасности», которая потенциально раскрывает данные клиентов.
В письме генеральному директору Lemonade Дэну Шрайберу Muddy Waters утверждает, что основные поисковые системы случайно получили доступ и проиндексировали частные данные из-за ошибки, которая может повлечь за собой дорогостоящие правовые и нормативные нарушения.
Muddy Waters - инвестор-активист, который проводит расследования в отношении публичных компаний, но он также занимает инвестиционные позиции, включая короткие продажи, в фирмах, которые он исследует.
В качестве доказательства инвестор заявляет, что он мог входить в систему и редактировать учетные записи клиентов Lemonade, просто используя результаты запросов из общедоступных поисковых систем, без необходимости предоставления каких-либо учетных данных.
Если это правда, обвинения означают, что Lemonade, вероятно, будет нарушать европейские правила GDPR, а также различные требования кибербезопасности в США.
Генеральный директор Muddy Waters Карсон Блок написал, что все клиенты Lemonade с июля 2020 года и далее могут потенциально пострадать из-за недостатка безопасности, при этом масштаб ущерба, возможно, включает всех партнеров по интеграции Lemonade API, а также всех клиентов, которые отправили личную информацию через Lemonade. API.
Он добавил, что неизвестно, были ли данные Lemonade получены другими сканерами или злоумышленниками, и сколько времени потребуется, чтобы устранить ущерб, и рекомендовал insurtech закрыть свои веб-сайты, API-интерфейсы и мобильное приложение до тех пор, пока уязвимость не будет устранена.
«Из-за легкости, с которой краулер мог непреднамеренно наткнуться на учетную запись пользователя Lemonade; насколько полезными могут быть хранящиеся там данные для похитителей личных данных; и относительно большая база пользователей Lemonade, мы опасаемся, что может быть много пострадавших, но мы не можем дать оценку размера потенциального вреда», - заявил Блок.
«Эту уязвимость можно легко использовать в фишинговых кампаниях для потенциально захвата учетных записей пользователей или пользовательских данных, поэтому мы считаем, что нарушение уже произошло», - предупредил он. «Пользователи Lemonade должны быть уведомлены и должны быть начеку на случай возможных последующих фишинговых или целевых фишинговых атак».
Lemonade еще не отреагировал на заявления об этом потенциальном недостатке безопасности, но стоит повторить, что Muddy Waters действительно занимает инвестиционные позиции в компаниях, которые он исследует, и поэтому может иметь личную заинтересованность в падении цены акций Lemonade.
Примечательно, что Muddy Waters обнародовал свой отчет перед тем, как проинформировать Lemonade в частном порядке. В отчете говорится, что такой подход лучше привлекает компании к ответственности за утечки данных, хотя более циничные комментаторы могут утверждать, что также может быть и финансовый стимул.
Подготовлено порталом Allinsurance.kz