'Serangan phishing' yang penting hanyalah praktik email yang ceroboh [andy rubin merespon]

Pembaruan 2: CEO Essential Andy Rubin telah mengkonfirmasi bahwa kemunduran kemarin disebabkan oleh kesalahan konfigurasi dengan salah satu email layanan pelanggan. Perusahaan telah menonaktifkan akun tersebut, dan menambahkan dalam pengamanan untuk mencegah kejadian serupa di masa mendatang:

Kemarin, kami membuat kesalahan dalam fungsi layanan pelanggan kami yang menghasilkan informasi pribadi dari sekitar 70 pelanggan yang dibagikan dengan sekelompok kecil pelanggan lain. Kami telah menonaktifkan akun yang salah konfigurasi dan telah mengambil langkah-langkah internal untuk menambahkan perlindungan terhadap hal ini terjadi lagi di masa mendatang. Kami dengan tulus meminta maaf atas kesalahan kami dan akan menawarkan pelanggan yang terkena dampak satu tahun di LifeLock. Kami juga akan terus berinvestasi lebih banyak dalam infrastruktur dan layanan pelanggan kami, yang hanya akan menjadi lebih penting seiring pertumbuhan kami.

Menjadi pendiri dalam bisnis yang sangat kompetitif berarti Anda sesekali harus makan gagak. Ini memalukan, rasanya tidak enak, dan seringkali, ini adalah pengalaman yang merendahkan. Sebagai pendiri dan CEO Essential, saya secara pribadi bertanggung jawab atas kesalahan ini dan akan berusaha sebaik mungkin untuk tidak mengulanginya.

Saya tetap berbesar hati dan termotivasi oleh gelombang dukungan yang Essential telah alami sejak mengungkap perusahaan pada 30 Mei. Kami terus sangat percaya pada visi dan inovasi yang kami hasilkan melalui produk-produk Home, Phone dan 360 Camera kami. Dengan rendah hati saya berterima kasih kepada pelanggan dan mitra saluran kami atas kesabaran dan pengertian Anda saat kami melanjutkan peluncuran produk pertama kami.

Pembaruan: Tampaknya Essential memiliki kesalahan konfigurasi pada perangkat lunak dukungan pelanggan mereka (Zendesk dalam kasus ini) yang menyebabkan email menjadi disalin secara buta (BCC:) kepada semua orang di milis pelanggan yang perlu memberikan informasi lebih lanjut. Laporan-laporan lain tentang biaya penipuan dan database pelanggan yang dikompromikan belum dikonfirmasi.

Telepon Esensial akhirnya keluar untuk pelanggan setelah penundaan yang lama, tetapi perusahaan belum selesai dengan bagian kontroversi. Email yang dikirimkan kepada pelanggan dari akun dukungan Esensial ([email protected]) meminta informasi tambahan dalam bentuk ID foto untuk memproses pengiriman. Meskipun alamat itu sendiri sah, sepertinya pelanggan perusahaan telah menjadi sasaran serangan phishing.

Dilihat oleh tanggapan terhadap utas Reddit, peretas menemukan jalan ke server surat perusahaan. Inilah email secara keseluruhan:

Hai, Tim peninjau pesanan kami membutuhkan informasi verifikasi tambahan untuk menyelesaikan pemrosesan pesanan terakhir Anda.

Verifikasi ini dilakukan untuk melindungi terhadap penggunaan informasi pembayaran Anda yang tidak sah dan serupa dengan apa yang dilakukan untuk pembelian secara langsung.

Harap berikan email dan nomor telepon alternatif untuk mengonfirmasi pembelian ini..

Kami ingin meminta gambar ID foto (mis. SIM, ID negara, paspor) yang dengan jelas menunjukkan foto, tanda tangan, dan alamat Anda. CATATAN: alamat pada ID harus cocok dengan alamat penagihan yang tercantum pada pesanan terakhir Anda.

Kami mohon maaf atas ketidaknyamanan ini dan menghargai kerja sama Anda. Setelah diverifikasi, kami berharap dapat mengirimkan pesanan Anda.

Terima kasih!

Layanan Pelanggan Penting

Untuk bagiannya, Essential telah menyebutkan bahwa ia telah mengambil langkah-langkah untuk "mengurangi masalah:"

Kami menyadari & melihat email terbaru yang diterima oleh beberapa pelanggan. Kami telah mengambil langkah-langkah untuk mengurangi & akan segera memperbarui dengan info lainnya.

- Essential (@essential) 30 Agustus 2017

Apakah Anda menerima email dari Essential yang meminta informasi verifikasi?