L'essenziale "attacco di phishing" era solo una pratica sciatta via e-mail [andy rubin risponde]

Aggiornamento 2: il CEO essenziale Andy Rubin ha confermato che lo slittamento di ieri è stato causato da un'errata configurazione con una delle e-mail di assistenza clienti. La società ha disabilitato quel particolare account e sta aggiungendo garanzie per prevenire un evento simile in futuro:

Ieri abbiamo commesso un errore nella nostra funzione di assistenza clienti che ha portato alla condivisione di informazioni personali da circa 70 clienti con un piccolo gruppo di altri clienti. Abbiamo disabilitato l'account configurato in modo errato e abbiamo preso provvedimenti internamente per aggiungere garanzie contro ciò che accadrà di nuovo in futuro. Ci scusiamo sinceramente per il nostro errore e offriremo ai clienti interessati un anno di LifeLock. Continueremo inoltre a investire di più nella nostra infrastruttura e nella cura del cliente, che sarà solo più importante man mano che cresciamo.

Essere un fondatore in un business altamente competitivo significa che occasionalmente devi mangiare corvo. È umiliante, non ha un buon sapore e spesso è un'esperienza umiliante. In quanto fondatore e CEO di Essential, sono personalmente responsabile di questo errore e farò del mio meglio per non ripeterlo.

Rimango rincuorato e motivato dalla motivazione del supporto che Essential ha avuto da quando ha svelato l'azienda il 30 maggio. Continuiamo a credere profondamente nella nostra visione e nell'innovazione che stiamo dando vita ai nostri prodotti per la casa, il telefono e la videocamera 360. Ringrazio umilmente i nostri clienti e partner di canale per la vostra pazienza e comprensione mentre procediamo con il lancio dei nostri primi prodotti.

Aggiornamento: Sembra che Essential abbia avuto una configurazione errata del proprio software di assistenza clienti (Zendesk in questo caso) che ha causato la copia cieca di email (BCC:) a tutti gli utenti di una mailing list dei clienti che avevano bisogno di fornire ulteriori informazioni. Altre segnalazioni di addebiti fraudolenti e un database di clienti compromesso non sono ancora stati confermati.

Il telefono essenziale sta finalmente uscendo ai clienti dopo lunghi ritardi, ma la società non ha ancora finito con la sua parte di controversie. Un'e-mail che viene inviata ai clienti da un account di supporto Essential ([email protected]) richiede ulteriori informazioni sotto forma di un documento di identità con foto per elaborare le spedizioni. Sebbene l'indirizzo stesso sia legittimo, sembra che i clienti dell'azienda siano stati presi di mira da un attacco di phishing.

A giudicare dalle risposte al thread di Reddit, l'hacker ha trovato un modo nel mailserver dell'azienda. Ecco l'email nella sua interezza:

Ciao, Il nostro team di revisione ordini richiede ulteriori informazioni di verifica per completare l'elaborazione del tuo ordine recente.

Questa verifica viene eseguita per proteggere dall'uso non autorizzato delle informazioni di pagamento e simili a quelli condotti per gli acquisti di persona.

Fornire un numero di telefono e di posta elettronica alternativo per confermare questo acquisto.

Vorremmo richiedere una foto di un documento di identità con foto (ad es. Patente di guida, documento di identità, passaporto) che mostri chiaramente la foto, la firma e l'indirizzo. NOTA: l'indirizzo sull'ID deve corrispondere all'indirizzo di fatturazione elencato nell'ordine recente.

Ci scusiamo per l'inconveniente e apprezziamo la vostra collaborazione. Una volta verificato, non vediamo l'ora di spedire il tuo ordine.

Grazie!

Assistenza clienti per prodotti essenziali

Da parte sua, Essential ha menzionato che ha adottato misure per "mitigare il problema:"

Siamo a conoscenza e esaminiamo una recente e-mail ricevuta da alcuni clienti. Abbiamo preso provvedimenti per mitigare e aggiorneremo presto con maggiori informazioni.

- Essential (@essential) 30 agosto 2017

Hai ricevuto un'email da Essential che richiedeva informazioni di verifica?