Mardi soir, plusieurs acquéreurs de l’Essential Phone ont reçu un mail leur demandant de fournir une pièce d’identité afin de limiter les risques de fraudes sur les précommandes de l’Essential Phone. Le but était de vérifier leur adresse (pour la facturation) et recueillir différentes informations personnelles : photo, adresse mail, numéro de téléphone et signature dans le cadre de vérifications supplémentaires.
Bémol ? En envoyant ces informations, des dizaines de clients ont transmis ces données personnelles à l’ensemble des clients d’Essential. Dans un premier temps, la campagne de phishing est évoquée. Mais après quelques vérifications de rigueur (adresse mail de l’expéditeur, en tête du courrier électronique), le mail est considéré comme légitime.
L’email support cachait une liste de diffusion
L’erreur de manipulation est donc privilégiée pour expliquer cette fuite de données. Plus précisément, l’adresse du support ([email protected]) a été configurée comme un email de groupe, les réponses envoyées à cette adresse ont donc été redistribuées à l’ensemble de cette liste de diffusion.
We’re aware of & looking into a recent e-mail received by some customers. We’ve taken steps to mitigate & will update with more info soon.
— Essential (@essential) 30 août 2017
L’entreprise a réagi sur Twitter en assurant prendre toutes les dispositions pour atténuer l’incident. Andy Rubin, le CEO d’Essential, s’est excusé dans un billet de blog en qualifiant l’incident « d’humiliant » et qu’il s’estimait « personnellement responsable de l’erreur ». Environ 70 clients sont concernés par cette fuite de données, le créateur d’Android leur offre un an de service LifeLock.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
