A cég dupla problémája akadt. Egyrészt lett egy Carson Block nevű aktivista befektetőjük, aki nagyban shortolja a Lemonadet. A másik, hogy Block cége talált egy nagyon kínos programozási hibát az insurtech cégnél, ami lehetővé teszi, hogy feltételezett támadók személyes adatokhoz férjenek hozzá a Lemonade rendszerében – írja a Techcrunch.
A 2015-ben indult egyszerű biztosítást kínáló, az ügyfeleit alapvetően okostelefonos appon kereszül kiszolgáló cég API-jával van némi probléma. A Block által vezetett Muddy Waters Research és a partneréül szolgáló Wolfpack Research szerint akár a Google használatával is el lehetett érni az ügyfelek adatai nyílt API-végpontokon. És nem csak adatokat lehetett megszerezni, a hiba alkalmassá tette a feltételezett támadókat a felhasználók megszemélyesítésére is. Magyarul ügyet intézhettek volna mások nevében.
Block nem fogta vissza magát, a cégnek küldött levelében úgy fogalmazott, hogy „a Lemonade le se szarja az ügyfelek adatainak a biztonságba helyezését”. Azt javasolta, hogy a hiba javításáig az API-t és a mobilos appot is állítsák le.
Shai Wininger, a Lemonade elnöke a Twitteren követte el erre azt a díjnyertes válasz, hogy
„nem sebezhetőség, hanem így van tervezve”
a Lemonade API-ja. Ugyanezt nyilatkozta a cég szóvivője is. Ennek ellenére a keresőből elérhető ügyféladatok a botrány kirobbanása után elkezdtek elérhetetlenné válni.
Szólj hozzá