Une erreur de configuration fait fuiter les données clients d’Essential

Sécurité

Par Elodie le

Ce qui semblait être une campagne de phishing pour collecter les données personnelles des premiers clients d’Essential était en réalité une mauvaise configuration. Un cafouillage qui tombe mal : le smartphone annoncé depuis plusieurs mois entame enfin sa commercialisation.

Mardi soir, plusieurs acquéreurs de l’Essential Phone ont reçu un mail leur demandant de fournir une pièce d’identité afin de limiter les risques de fraudes sur les précommandes de l’Essential Phone. Le but était de vérifier leur adresse (pour la facturation) et recueillir différentes informations personnelles : photo, adresse mail, numéro de téléphone et signature dans le cadre de vérifications supplémentaires.

Bémol ? En envoyant ces informations, des dizaines de clients ont transmis ces données personnelles à l’ensemble des clients d’Essential. Dans un premier temps, la campagne de phishing est évoquée. Mais après quelques vérifications de rigueur (adresse mail de l’expéditeur, en tête du courrier électronique), le mail est considéré comme légitime.

L’email support cachait une liste de diffusion

L’erreur de manipulation est donc privilégiée pour expliquer cette fuite de données. Plus précisément, l’adresse du support (support@essentialsupport.zendesk.com) a été configurée comme un email de groupe, les réponses envoyées à cette adresse ont donc été redistribuées à l’ensemble de cette liste de diffusion.

L’entreprise a réagi sur Twitter en assurant prendre toutes les dispositions pour atténuer l’incident. Andy Rubin, le CEO d’Essential, s’est excusé dans un billet de blog en qualifiant l’incident « d’humiliant » et qu’il s’estimait « personnellement responsable de l’erreur ». Environ 70 clients sont concernés par cette fuite de données, le créateur d’Android leur offre un an de service LifeLock.

Source: Source