Penjual pendek aktivis telah menulis surat kepada kepala eksekutif raksasa asuransi Lemonade dengan perincian kelemahan keamanan yang “ditemukan secara tidak sengaja” yang memperlihatkan data akun pelanggan.
Carson Block, pendiri firma riset investasi Muddy Waters Research, mengirim surat kepada salah satu pendiri dan kepala eksekutif Lemonade Daniel Schreiber pada hari Kamis, menggambarkan bug yang memungkinkan siapa pun untuk secara tidak sengaja mengakses data yang dapat diidentifikasi secara pribadi dari akun pelanggan sebagai “kelalaian yang tidak dapat dimaafkan.”
Surat Block mengatakan: “Dengan mengklik hasil pencarian dari mesin pencari publik, kami secara mengejutkan mendapati diri kami masuk dan dapat mengedit akun pelanggan Lemonade tanpa harus memberikan kredensial pengguna apa pun.”
Lemonade diluncurkan pada tahun 2015 dan menawarkan polis asuransi penyewa, pemilik rumah, dan hewan peliharaan di seluruh AS dan Eropa. Perusahaan go public tahun lalu dan melihat sahamnya meroket lebih dari 130% pada hari penawaran umum perdana. Lemonade minggu ini melaporkan kerugian triwulanan $49 juta, lebih dalam dari yang diharapkan Wall Street.
Bug itu ditemukan bersama oleh Muddy Waters Research dan Wolfpack Research, kata Block. Di dalam sebuah kicauanAnalis utama Wolfpack Reed Sherman mengatakan salah satu pakar keamanan Muddy Waters “dapat mengirimi saya PDF polis asuransi penyewa saya kurang dari 15 menit setelah ini pertama kali ditemukan.”
Block memberi tahu TechCrunch bahwa perusahaannya mempersingkat saham perusahaan, sesuai suratnya, “karena Lemonade jelas tidak peduli tentang mengamankan informasi pribadi sensitif pelanggannya.” Block mengatakan dalam suratnya bahwa Lemonade harus “menutup situs web, API, dan aplikasi selulernya” sampai masalah tersebut diperbaiki, yang menurutnya dapat dimulai pada Juli 2020.
Block menerbitkan suratnya ke Lemonade dengan redaksi agar tidak memberikan detail bug yang spesifik. Dalam sebuah panggilan, Block memberikan rincian lebih lanjut tentang bug ke TechCrunch untuk memverifikasi kerentanannya. Satu hasil pencarian yang diindeks memungkinkan kami masuk ke akun Lemonade seseorang dan melihat nama, alamat, dan detail penawaran mereka tanpa pernah meminta kata sandi pengguna.
Dalam sebuah tweet, presiden Lemonade Shai Wininger dikatakan bugnya adalah “bukan kerentanan, ini memang disengaja”. Yael Wissner-Levy, juru bicara Lemonade, juga mengatakan bahwa ini memang disengaja. Tidak lama setelah surat itu dipublikasikan, beberapa hasil indeks berhenti berfungsi.
Diperbarui dengan komentar dari Lemonade.
