Après avoir découvert « une faille de sécurité d’une impardonnable négligence » sur le site de Lemonade, Muddy Waters Capital met l’insurtech sous pression. Alors que les données personnelles de clients pourraient être affectées, le short seller activiste demande à l’assureur de fermer sans attendre sa plateforme pour corriger cette défaillance.
Depuis hier, Muddy Waters Capital met Lemonade sous pression. Le short seller activiste, spécialisée dans la rédaction de notes de recherches sur les grandes sociétés cotées, indique avoir découvert accidentellement « une faille de sécurité d’une impardonnable négligence » sur le site de l’insurtech.
Dans une lettre ouverte envoyée à Daniel Schreiber, CEO de Lemonade, Carson Block, le patron de Muddy Waters Capital, est particulièrement véhément à l’endroit du fondateur de l’insuretch. « Il est clair que Lemonade se fout de la sécurité des informations personnelles et sensibles des clients », écrit-il.
Dans sa missive, Carson Block explique en détails comment les informations sensibles des assurés de Lemonade ont été indexées par Google, Bing et Wayback Machine. Preuves à l’appui (même si ces dernières ont été masquées pour des raisons de sécurité sur le document), il explique qu’ « en cliquant sur les résultats de ces moteurs de recherche publics, nous nous sommes retrouvés connectés et capables de modifier les comptes des clients de Lemonade sans avoir à fournir les informations d’identification de l’utilisateur !. Et ce dernier d’ajouter que cette vulnérabilité semble exister depuis au moins juillet 2020, mais elle est détectable grâce à une application de test de sécurité standard qui coûte 400$ par an ».
Infractions légales et réglementaires
Compte tenu d’une telle faille « front door », Carson Block s’interroge également sur le niveau de sécurité « back door » du site, mettant en cause l’« indifférence totale » de Daniel Schreiber en ma matière. « La valeur perçue de Lemonade réside en partie dans sa collecte de données – dans quelle mesure cet avantage exclusif est-il sécurisé ? », questionne le patron de Muddy Waters Capital.
Surtout, le short seller explique que les failles de Lemonade impliquent peut-être des infractions légales et réglementaires coûteuses. « Nous avons découvert que l’un des crawlers avait indexé les informations personnelles d’un résident de l’Union Européenne. Comme Lemonade commercialise ses produits directement auprès des résidents de l’UE, nous pensons que Lemonade aurait pu enfreindre le California Consumer Privacy Act et les réglementations de New York relatives aux exigences de cybersécurité des sociétés de services financiers (23 NYCRR Part 500) ».
Fin 2020, l’insurtech avait notamment officialisé son arrivée prochaine en France. Le dirigeant de Muddy Waters Capital demande en outre à Lemonade de mettre immédiatement son site hors ligne pour corriger sa vulnérabilité et enjoint l’assurtech à enquêter sur l’étendue de cette défaillance de sécurité et sur les données personnelles qu’elle aurait pu exposer. Elle lui demande enfin d’en informer les clients potentiellement concernés.
Carson Block conclut sa missive en indiquant qu’ « après avoir été révolté pendant des années par l’indifférence manifeste en matière de sécurité des entreprises comme Lemonade, j’ai conclu que la seule façon de faire la différence était que des gens comme vous soient tenus publiquement responsables ».
Lemonade réfute ces allégations
De son côté, Lemonade s’est défendu de telles allégations. Dans une série de tweets, Shai Wininger, le co-fondateur de l’insurtech s’est efforcé de démontrer qu’il ne s’agissait pas d’une vulnérabilité, mais plutôt de design. « Nous avons conçu nos cotations pour qu’elles soient partageables. Si quelqu’un veut les envoyer à sa famille, à ses amis ou à son organisme hypothécaire, il le peut. Il s’avère que certaines personnes publient leurs cotations sur Pinterest et sur des blogs, et ce sont sur eux que Muddy Waters est tombé », explique-t-il. Et ce dernier de conclure avec une pointe d’humour, « puisque Google indexe déjà Pinterest et ces blogs, ces liens finissent par être détectables sur Google – et Muddy Waters les a découvert. Nous espérons qu’ils n’ont pas passé trop de temps sur le sujet… ».
1/ Let’s set things straight up front: What @muddywatersre found were links to 4 insurance quotes shared by Lemonade users themselves. (aka, they loved it so much, they shared ‘em).
That is not a vulnerability, it’s by design! https://t.co/JJhFmOzUAW
— Shai Wininger (@shai_wininger) May 13, 2021
2/ We designed our quotes to be shareable. If someone wants to send their quote to their family, friends, or mortgage bank, they can. Btw, turns out people post their quotes on Pinterest and UX blogs, and these are the ones they stumbled upon
— Shai Wininger (@shai_wininger) May 13, 2021
