Un vendeur à découvert activiste a écrit une lettre au directeur général du géant de l’assurance Lemonade avec les détails d’une faille de sécurité «découverte accidentellement» qui expose les données de compte des clients.

Carson Block, fondateur de la société de recherche en investissement Muddy Waters Research, a envoyé jeudi la lettre au cofondateur et directeur général de Lemonade, Daniel Schreiber, décrivant le bogue qui permettait à quiconque d’accéder par inadvertance aux données personnellement identifiables des comptes des clients comme «une négligence impardonnable».

La lettre de Block disait: « En cliquant sur les résultats de recherche des moteurs de recherche publics, nous nous sommes étonnamment trouvés connectés et capables de modifier les comptes des clients de Lemonade sans avoir à fournir les informations d’identification de l’utilisateur. »

Lemonade a été lancée en 2015 et propose des polices d’assurance pour les locataires, les propriétaires et les animaux de compagnie aux États-Unis et en Europe. La société a été introduite en bourse l’année dernière et a vu ses actions monter en flèche de plus de 130% le jour de son introduction en bourse. Lemonade cette semaine a rapporté une perte trimestrielle de 49 millions de dollars, plus profonde que ce à quoi Wall Street s’attendait.

Le bogue a été co-découvert par Muddy Waters Research et Wolfpack Research, a déclaré Block. Dans un tweet, l’analyste principal de Wolfpack, Reed Sherman, a déclaré que l’un des experts en sécurité de Muddy Waters « a pu m’envoyer un PDF de la police d’assurance de mon locataire moins de 15 minutes après sa découverte. »

Block a déclaré à TechCrunch que son entreprise était en train de vendre les actions de la société, selon sa lettre, « car il est clair que Lemonade se fout de la sécurisation des informations personnelles sensibles de ses clients. » Block a déclaré dans sa lettre que Lemonade devrait «fermer son site Web, ses API et son application mobile» jusqu’à ce que le problème soit résolu, ce qui, selon lui, pourrait remonter à juillet 2020.

Block a publié sa lettre à Lemonade avec des expurgations afin de ne pas donner de détails spécifiques sur le bogue. Lors d’un appel, Block a fourni plus de détails sur le bogue à TechCrunch afin de vérifier la vulnérabilité. Un indexé …