sous

Insurtech : Une faille de sécurité met Lemonade sous pression

Après avoir découvert « une faille de sécurité d’une impardonnable négligence » sur le site de Lemonade, Muddy Waters Capital met l’insurtech sous pression. Alors que les données personnelles de clients pourraient être affectées, le short seller activiste demande à l’assureur de fermer sans attendre sa plateforme pour corriger cette défaillance.

Depuis hier, Muddy Waters Capital met Lemonade sous pression. Le short seller activiste, spécialisée dans la rédaction de notes de recherches sur les grandes sociétés cotées, indique avoir découvert accidentellement « une faille de sécurité d’une impardonnable négligence » sur le site de l’insurtech.

Dans une lettre ouverte envoyée à Daniel Schreiber, CEO de Lemonade, Carson Block, le patron de Muddy Waters Capital, est particulièrement véhément à l’endroit du fondateur de l’insuretch. « Il est clair que Lemonade se fout de la sécurité des informations personnelles et sensibles des clients », écrit-il.

Dans sa missive, Carson Block explique en détails comment les informations sensibles des assurés de Lemonade ont été indexées par Google, Bing et Wayback Machine. Preuves à l’appui (même si ces dernières ont été masquées pour des raisons de sécurité sur le document), il explique qu’ « en cliquant sur les résultats de ces moteurs de recherche publics, nous nous sommes retrouvés connectés et capables de modifier les comptes des clients de Lemonade sans avoir à fournir les informations d’identification de l’utilisateur !. Et ce dernier d’ajouter que cette vulnérabilité semble exister depuis au moins juillet 2020, mais elle est détectable grâce à une application de test de sécurité standard qui coûte 400$ par an ».

Infractions légales et réglementaires

Compte tenu d’une telle faille « front door », Carson Block s’interroge également sur le niveau de sécurité « back door » du site, mettant en cause l’« indifférence totale » de Daniel Schreiber en ma matière. « La valeur perçue de Lemonade réside en partie dans sa collecte de données – dans quelle mesure cet avantage exclusif est-il sécurisé ? », questionne le patron de Muddy Waters Capital.

Surtout, le short seller explique que les failles de Lemonade impliquent peut-être des infractions légales et réglementaires coûteuses. « Nous avons découvert que l’un des crawlers avait indexé les informations personnelles d’un résident de l’Union Européenne. Comme Lemonade commercialise ses produits directement auprès des résidents de l’UE, nous pensons que Lemonade aurait pu enfreindre le California Consumer Privacy Act et les réglementations de New York relatives aux exigences de cybersécurité des sociétés de services financiers (23 NYCRR Part 500) ».

Fin 2020, l’insurtech avait notamment officialisé son arrivée prochaine en France. Le dirigeant de Muddy Waters Capital demande en outre à Lemonade de mettre immédiatement son site hors ligne pour corriger sa vulnérabilité et enjoint l’assurtech à enquêter sur l’étendue de cette défaillance de sécurité et sur les données personnelles qu’elle aurait pu exposer. Elle lui demande enfin d’en informer les clients potentiellement concernés.

Carson Block conclut sa missive en indiquant qu’ « après avoir été révolté pendant des années par l’indifférence manifeste en matière de sécurité des entreprises comme Lemonade, j’ai conclu que la seule façon de faire la différence était que des gens comme vous soient tenus publiquement responsables ».

Lemonade réfute ces allégations

De son côté, Lemonade s’est défendu de telles allégations. Dans une série de tweets, Shai Wininger, le co-fondateur de l’insurtech s’est efforcé de démontrer qu’il ne s’agissait pas d’une vulnérabilité, mais plutôt de design. «  Nous avons conçu nos cotations pour qu’elles soient partageables. Si quelqu’un veut les envoyer à sa famille, à ses amis ou à son organisme hypothécaire, il le peut. Il s’avère que certaines personnes publient leurs cotations sur Pinterest et sur des blogs, et ce sont sur eux que Muddy Waters est tombé », explique-t-il. Et ce dernier de conclure avec une pointe d’humour, « puisque Google indexe déjà Pinterest et ces blogs, ces liens finissent par être détectables sur Google – et Muddy Waters les a découvert. Nous espérons qu’ils n’ont pas passé trop de temps sur le sujet… ».

Lire la suite ici : Insurtech : Une faille de sécurité met Lemonade sous pression (source : News Assurances Pro – Media Indépendant des assureurs, mutuelles et institutions de prévoyance)

News Assurances Pro

Épargne : un débat sous pression

L’exécutif a relancé le chantier de l’épargne de long terme. Moins de fiscalité et plus de créativité, la feuille de route est ardue pour des assureurs divisés sur les solutions à privilégier… […] Lire l’article
L’Argus de l’Assurance – Acteurs

Référencements fonction publique : une compétition sous tensions

La seconde vague de référencements en santé et prévoyance au sein de la fonction publique d’Etat est officiellement lancée en cette rentrée 2016. Premières surprises quant aux résultats, imbroglio persistant sur la dépendance, multiplication du nombre de candidats… Les tensions sur ce marché d’importance sont nombreuses, récapitulées dans cet e-dossier.  Lire l’article
L’Argus de l’Assurance – Acteurs

Epargne : des publicités sous haute surveillance du régulateur

Les publicités sur l’épargne n’échappent pas à l’oeil aguerri de l’ACPR, toujours plus soucieuse de la protection du consommateur. Et le régulateur n’a cessé de durcir un cadre réglementaire déjà strict.  Lire l’article
L’Argus de l’Assurance – Acteurs

Le groupe Sham structure son offre de services sous la marque Neeria

Neeria réunit les prestations de conseil et de services de la société d’assurance Sham et du courtier Sofaxis. Elles s’adressent aux acteurs de la santé, du social et aux collectivités territoriales.  Lire l’article
L’Argus de l’Assurance – Acteurs