Limonade dementiert “unverzeihlich nachlässigen” Sicherheitsfauxpas

Cyber Security News

Das Insurtech-Unternehmen Lemonade hat die Behauptung eines Leerverkäufers zurückgewiesen, es habe eine “unverzeihlich fahrlässige Sicherheitslücke” auf seiner Website.

Muddy Waters Research LLC behauptet, dass auf der Website von Lemonade eine Sicherheitslücke besteht, die potenziell die persönlichen Daten der Kunden preisgeben könnte.

Der Investor behauptet, dass er in der Lage war, sich in Lemonade-Kundenkonten einzuloggen und diese zu bearbeiten, ohne irgendwelche Benutzeranmeldeinformationen eingeben zu müssen.

In einem offenen Brief an Lemonade-CEO Dan Schreiber vom 13. Mai schrieb Muddy Waters-CEO Carson Block, dass die Sicherheitslücke “so klaffend” sei, dass Suchmaschinen wie Google, Bing und die Wayback Machine versehentlich auf die Website zugegriffen und PII von Lemonade-Kunden indiziert hätten.

“Indem wir auf Suchergebnisse von öffentlichen Suchmaschinen klickten, fanden wir uns schockierenderweise eingeloggt und in der Lage, die Konten von Lemonade-Kunden zu bearbeiten, ohne dass wir irgendwelche Anmeldeinformationen angeben mussten!” schrieb Block.

Laut Muddy Waters scheint der Fehler seit mindestens Juli 2020 zu existieren, “und doch ist er durch eine branchenübliche Standardanwendung für Sicherheitstests, die 400 Dollar pro Jahr kostet, nachweisbar.”

Block schrieb, dass “es klar ist, dass Lemonade nicht einen f*ck über die Sicherung der sensiblen persönlichen Daten seiner Kunden gibt.”

Lemonade bestritt die Existenz einer Sicherheitslücke und sagte, dass keine Sicherheitsverletzung stattgefunden habe.

“Wir werden versuchen, es kurz zu machen”, sagte Lemonade dem Infosecurity Magazine. “Was Muddy Waters Research gefunden hat, waren Links zu vier Versicherungszitaten, die von Lemonade-Benutzern selbst geteilt wurden (aka, sie liebten es so sehr, dass sie es teilten).

“Das ist keine Sicherheitslücke. Wir haben unsere Angebote so gestaltet, dass sie geteilt werden können, so dass jeder sein Angebot mit seiner Familie, seinen Freunden oder seiner Hypothekenbank teilen kann.

“Es hat sich herausgestellt, dass einige Leute auch gerne mit ihren Zitaten auf Pinterest und UX-Blogs prahlen. Hier ist ein Beispiel: https://reallygoodux.io/blog/lemonade-user-onboarding. Da Google Pinterest und Blogs indiziert, sind diese Links am Ende bei Google auffindbar, und Muddy Waters hat sie entdeckt.”

Sie fügten hinzu: “Wir hoffen wirklich, dass die Leute drüben bei Muddy Waters Research nicht zu viel Zeit darauf verwendet haben.”

Muddy Waters ging mit seinem Bericht über eine angebliche Sicherheitslücke an die Öffentlichkeit, bevor sie Lemonade privat über ihre Absichten informierten.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com