Muddy Waters Research заявила, что данные клиентов иншуртех-стартапа Lemonade не защищены

Инвестиционная компания Muddy Waters Research LLC заявила, что иншуртех-компания Lemonade имеет на своем веб-сайте «брешь в безопасности», которая потенциально раскрывает данные клиентов.

В письме генеральному директору Lemonade Дэну Шрайберу Мадди Уотерс утверждает, что основные поисковые системы случайно получили доступ и проиндексировали частные данные из-за ошибки, которая может повлечь за собой дорогостоящие правовые и нормативные нарушения.

Мадди Уотерс - инвестор-активист, который проводит расследования в отношении публичных компаний, но он также занимает инвестиционные позиции, включая шорт-позиции, в фирмах, которые он исследует.

В качестве доказательства инвестор заявляет, что он мог входить в систему и редактировать учетные записи клиентов Lemonade, просто нажимая на результаты из общедоступных поисковых систем, без необходимости предоставлять какие-либо учетные данные.

Если это правда, обвинения означают, что Lemonade, вероятно, будет нарушать европейские правила GDPR, а также различные требования кибербезопасности в США.

Генеральный директор Muddy Waters Карсон Блок написал, что все клиенты Lemonade с июля 2020 года и далее могут потенциально пострадать из-за недостаточной безопасности, причем масштаб ущерба, возможно, включает всех партнеров по интеграции Lemonade API, а также всех клиентов, которые отправили личную информацию через Lemonade.

Он добавил, что неизвестно, были ли данные Lemonade получены другими сканерами или злоумышленниками, и сколько времени потребуется, чтобы устранить ущерб, и рекомендовал стартапу закрыть свои веб-сайты, API-интерфейсы и мобильное приложение, пока уязвимость не будет устранена.

«Эту уязвимость можно легко использовать в фишинговых кампаниях с целью захвата учетных записей или данных пользователей, поэтому мы считаем, что нарушение уже произошло», - предупредил он. «Пользователи Lemonade должны быть уведомлены и должны быть начеку в отношении потенциальных последующих фишинговых или целевых фишинговых атак».

Lemonade еще не отреагировал на заявления об этом потенциальном недостатке безопасности, но стоит повторить, что Muddy Waters действительно занимает инвестиционные позиции в компаниях, которые он исследует, и поэтому может иметь личную заинтересованность в падении цены акций Lemonade.  | Фориншурер