A túlterheléses támadásnál egy szánalmasabb kommunikációs stratégia van, amit az amerikai Lemonade insurtech startup vezetett elő a héten.

(Fotó: Rob Bertholf / CC-BY)

A cég dupla problémája akadt. Egyrészt lett egy Carson Block nevű aktivista befektetőjük, aki nagyban shortolja a Lemonadet. A másik, hogy Block cége talált egy nagyon kínos programozási hibát az insurtech cégnél, ami lehetővé teszi, hogy feltételezett támadók személyes adatokhoz férjenek hozzá a Lemonade rendszerében – írja a Techcrunch.

A 2015-ben indult egyszerű biztosítást kínáló, az ügyfeleit alapvetően okostelefonos appon kereszül kiszolgáló cég API-jával van némi probléma. A Block által vezetett Muddy Waters Research és a partneréül szolgáló Wolfpack Research szerint akár a Google használatával is el lehetett érni az ügyfelek adatai nyílt API-végpontokon. És nem csak adatokat lehetett megszerezni, a hiba alkalmassá tette a feltételezett támadókat a felhasználók megszemélyesítésére is. Magyarul ügyet intézhettek volna mások nevében.

Block nem fogta vissza magát, a cégnek küldött levelében úgy fogalmazott, hogy “a Lemonade le se szarja az ügyfelek adatainak a biztonságba helyezését”. Azt javasolta, hogy a hiba javításáig az API-t és a mobilos appot is állítsák le.

Shai Wininger, a Lemonade elnöke a Twitteren követte el erre azt a díjnyertes válasz, hogy

“nem sebezhetőség, hanem így van tervezve”

a Lemonade API-ja. Ugyanezt nyilatkozta a cég szóvivője is. Ennek ellenére a keresőből elérhető ügyféladatok a botrány kirobbanása után elkezdtek elérhetetlenné válni.


Ha tetszett a cikk:

és kövess minket a Facebookon!



Szólj hozzá

Vélemény, hozzászólás?