短卖家说柠檬水网站错误暴露了保险客户的帐户数据

2021-05-13 23:56:05

Carson Block of Investment Research Cust Muddy Waters Research的创始人,周四向柠檬水联合创始人和首席执行官Daniel Schreiber寄了这封信,描述了允许任何人从客户账户无意中从客户账户中获取个人身份数据的错误,作为“不可原谅的疏忽”。

块的信说:“通过点击公共搜索引擎的搜索结果,我们令人震惊地发现自己登录并能够编辑柠檬水客户的帐户,而无需提供任何用户凭据。”

柠檬水于2015年推出,并在美国和欧洲提供租赁者,房主'和宠物保险政策。该公司去年公开,并在其首次公开发行的当天之前将其股票的股票占130%以上。柠檬水本周报告了4900万美元的季度亏损,比华尔街在内的预期更深。

块说,该虫子被泥泞的水域研究和沃尔夫皮克研究共同发现。在推文中,沃尔夫帕克铅分析师芦苇谢尔曼说,泥泞的水域安全专家之一就可以在第一次发现这是不到15分钟的情况下送给我一个租房人的保险单的PDF。“

街区告诉TechCrunch,他的公司正在缩短公司的股票,每封信,“因为它很清楚的柠檬水并没有给出一个他妈的对客户敏感的个人信息。”块在他的信中说,柠檬水应该“关闭它的网站,API和移动应用程序”,直到问题是固定的,他说的可能会返回2020年7月。

阻止将他的信发布到柠檬水中,并在不泄露错误的特定细节。在呼叫中,块为TechCrunch提供了有关Bug的更多详细信息,以验证漏洞。一个索引搜索结果让我们登录一个人的柠檬水帐户,并在不要求用户的密码内查看他们的姓名,地址和报价详细信息。

很短的时间后,一些索引结果停止了工作。 TechCrunch要求柠檬水进行评论,但在出版之前没有收到回复。我们会在我们做的时候更新。