保険大手Lemonadeのウェブサイトで顧客の個人情報が漏洩するバグが発覚

1人の物言う空売り人が、保険の巨人Lemonade（レモネード）のCEOに書簡を書き、顧客のアカウント情報を漏洩させるセキュリティ欠陥を「偶然発見した」経緯の詳細を述べた。

投資調査会社Muddy Water Research（マディー・ウォーター・リサーチ）のファウンダーであるCarson Block（カーソン・ブロック）氏は米国時間5月13日、Lemonadeの共同ファウンダーでCEOのDaniel Schreiber（ダニエル・シュライバー）氏宛に書簡を送り、顧客アカウントの個人識別可能なデータが、意図されず誰にでもアクセス可能になるバグを「許されざるべき怠慢」と評した。

ブロック氏の書簡には「公開検索エンジンの検索結果をクリックしたところ、驚くべきことにLemonade顧客のアカウントにログインして編集できることがわかりました。ユーザーの識別情報を提供する必要は一切ありません」。

Lemonadeは2015年に創業し、賃貸人、住宅所有者、およびペットの保険を米国とヨーロッパに販売している。同社は2020年上場し、株価はIPO当日に130％以上急騰した。今週、Lemonadeは四半期損失4900万ドル（約53億7000万円）を報告し、ウォール街の予想に応えられなかった。

関連記事：ソフトバンクが出資するP2P保険のLemonadeがIPO申請、規模は100億円超

問題のバグは、Muddy Waters ResearchとWoldpack Research（ウルフパック・リサーチ）が共同で発見したとブロック氏はいう。WolfpackのリードアナリストであるReed Sherman（リード・シャーマン）氏はツイートで、Muddy Watersのセキュリティ専門家の1人は「私の賃貸人の保険証券のPDFを、バグ発見から15分以内に送ってきた」と述べた。

ブロック氏はTechCrunchに、彼の会社はLemonade株を空売りしている「なぜならLemonadeは顧客の繊細な個人情報を守ることをまったく考えていないからだ」と語った。ブロック氏は書簡に、Lemonadeは問題が修復されるまで「ウェブサイトも、APIも、モバイルアプリも停止すべきだ」と書いた。バグは2020年7月に遡るという。

ブロック氏はLemonade宛の書簡を、バグの詳細を伏せて公開した。同氏はTechCrunchに、脆弱性を検証するためにバグの詳細を電話で教えてくれた。私は検索結果の1つを使って、ある人物のLemonadeアカウントにログインし、名前、住所、および見積もりの詳細をパスワードを聞かれることなく見ることができた。

LemonadeのShai Wininger（シェイ・ウィンニンガー）社長はツイートで、バグは「脆弱性ではなく意図されたものだ」と語った。Lemonadeの広報担当者であるYael Wissner-Levy（イェール・ウィズナー・レヴィ）氏も意図的であると述べた。ブロック氏の書簡が公開されてからまもなく、検索結果の一部は機能停止した。

関連記事
・米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める
・PelotonのAPIは脆弱で誰でもアカウントデータを取得できる、不正利用の有無は不明
・セキュリティーソフトClick Studiosが同社製品のデータ侵害に関するツイートを止めるよう顧客に依頼
・クラウドインフラプロバイダー大手DigitalOceanが顧客の請求データ流出を発表

カテゴリー：セキュリティ

タグ：Lemonade、データ漏洩、保険、バグ、個人情報

画像クレジット：Lemonade / file photo

［原文へ］

（文：Zack Whittaker、翻訳：Nob Takahashi / facebook ）