El "ataque de phishing" esencial era una práctica de correo electrónico descuidada [responde Andy Rubin]

Actualización 2: el CEO de Essential, Andy Rubin, ha confirmado que el error de ayer se debió a una configuración incorrecta con uno de los correos electrónicos de atención al cliente. La compañía ha deshabilitado esa cuenta en particular y está agregando salvaguardas para evitar una ocurrencia similar en el futuro:

Ayer cometimos un error en nuestra función de atención al cliente que resultó en información personal de aproximadamente 70 clientes que se compartió con un pequeño grupo de otros clientes. Hemos deshabilitado la cuenta mal configurada y hemos tomado medidas internamente para agregar salvaguardas para que esto no vuelva a suceder en el futuro. Nos disculpamos sinceramente por nuestro error y ofreceremos a los clientes afectados un año de LifeLock. También continuaremos invirtiendo más en nuestra infraestructura y atención al cliente, lo que solo será más importante a medida que crezcamos.

Ser fundador de un negocio intensamente competitivo significa que ocasionalmente tienes que comer cuervo. Es humillante, no sabe bien y, a menudo, es una experiencia humillante. Como fundador y CEO de Essential, soy personalmente responsable de este error y haré todo lo posible para no repetirlo.

Sigo alentado y motivado por la gran cantidad de apoyo que Essential ha experimentado desde la presentación de la compañía el 30 de mayo. Continuamos creyendo profundamente en nuestra visión y la innovación que estamos dando vida a través de nuestros productos para el hogar, el teléfono y la cámara 360. Agradezco humildemente a nuestros clientes y socios de canal por su paciencia y comprensión a medida que avanzamos con el lanzamiento de nuestros primeros productos.

Actualización: Parece que Essential tenía una configuración incorrecta de su software de atención al cliente (Zendesk en este caso) que hizo que los correos electrónicos se copiaran a ciegas (BCC:) a todos los miembros de una lista de correo de clientes que necesitaban proporcionar más información. Otros informes de cargos fraudulentos y una base de datos de clientes comprometida aún no se han confirmado.

El teléfono esencial finalmente está saliendo a los clientes después de largas demoras, pero la compañía aún no ha terminado con su parte de controversia. Un correo electrónico que se envía a los clientes desde una cuenta de soporte de Essential ([email protected]) solicita información adicional en forma de una identificación con foto para procesar los envíos. Si bien la dirección en sí es legítima, parece que los clientes de la compañía han sido blanco de un ataque de phishing.

A juzgar por las respuestas al hilo de Reddit, el hacker encontró una manera de ingresar al servidor de correo de la compañía. Aquí está el correo electrónico en su totalidad:

Hola, Nuestro equipo de revisión de pedidos requiere información de verificación adicional para completar el procesamiento de su pedido reciente.

Esta verificación se realiza para proteger contra el uso no autorizado de su información de pago y es similar a lo que se realiza para compras en persona.

Proporcione un correo electrónico y un número de teléfono alternativos para confirmar esta compra.

Nos gustaría solicitar una foto de una identificación con foto (por ejemplo, licencia de conducir, identificación del estado, pasaporte) mostrando claramente su foto, firma y dirección. NOTA: la dirección en la ID debe coincidir con la dirección de facturación que figura en su pedido reciente.

Disculpe las molestias y agradecemos su cooperación. Una vez verificado, esperamos enviar su pedido.

¡Gracias!

Atención al cliente de productos esenciales

Por su parte, Essential ha mencionado que ha tomado medidas para "mitigar el problema":

Somos conscientes de un correo electrónico reciente recibido por algunos clientes. Hemos tomado medidas para mitigar y actualizaremos con más información pronto.

- Essential (@essential) 30 de agosto de 2017

¿Recibió un correo electrónico de Essential solicitando información de verificación?