Insurtech

Insurtech : Une faille de sécurité met Lemonade sous pression

mai 16, 2021

Après avoir découvert « une faille de sécurité d’une impardonnable négligence » sur le site de Lemonade, Muddy Waters Capital met l’insurtech sous pression. Alors que les données personnelles de clients pourraient être affectées, le short seller activiste demande à l’assureur de fermer sans attendre sa plateforme pour corriger cette défaillance.

Depuis hier, Muddy Waters Capital met Lemonade sous pression. Le short seller activiste, spécialisée dans la rédaction de notes de recherches sur les grandes sociétés cotées, indique avoir découvert accidentellement « une faille de sécurité d’une impardonnable négligence » sur le site de l’insurtech.

Dans une lettre ouverte envoyée à Daniel Schreiber, CEO de Lemonade, Carson Block, le patron de Muddy Waters Capital, est particulièrement véhément à l’endroit du fondateur de l’insuretch. « Il est clair que Lemonade se fout de la sécurité des informations personnelles et sensibles des clients », écrit-il.

Dans sa missive, Carson Block explique en détails comment les informations sensibles des assurés de Lemonade ont été indexées par Google, Bing et Wayback Machine. Preuves à l’appui (même si ces dernières ont été masquées pour des raisons de sécurité sur le document), il explique qu’ « en cliquant sur les résultats de ces moteurs de recherche publics, nous nous sommes retrouvés connectés et capables de modifier les comptes des clients de Lemonade sans avoir à fournir les informations d’identification de l’utilisateur !. Et ce dernier d’ajouter que cette vulnérabilité semble exister depuis au moins juillet 2020, mais elle est détectable grâce à une application de test de sécurité standard qui coûte 400$ par an ».

Infractions légales et réglementaires

Compte tenu d’une telle faille « front door », Carson Block s’interroge également sur le niveau de sécurité « back door » du site, mettant en cause l’« indifférence totale » de Daniel Schreiber en ma matière. « La valeur perçue de Lemonade réside en partie dans sa collecte de données – dans quelle mesure cet avantage exclusif est-il sécurisé ? », questionne le patron de Muddy Waters Capital.

Surtout, le short seller explique que les failles de Lemonade impliquent peut-être des infractions légales et réglementaires coûteuses. « Nous avons découvert que l’un des crawlers avait indexé les informations personnelles d’un résident de l’Union Européenne. Comme Lemonade commercialise ses produits directement auprès des résidents de l’UE, nous pensons que Lemonade aurait pu enfreindre le California Consumer Privacy Act et les réglementations de New York relatives aux exigences de cybersécurité des sociétés de services financiers (23 NYCRR Part 500) ».

Fin 2020, l’insurtech avait notamment officialisé son arrivée prochaine en France. Le dirigeant de Muddy Waters Capital demande en outre à Lemonade de mettre immédiatement son site hors ligne pour corriger sa vulnérabilité et enjoint l’assurtech à enquêter sur l’étendue de cette défaillance de sécurité et sur les données personnelles qu’elle aurait pu exposer. Elle lui demande enfin d’en informer les clients potentiellement concernés.

Carson Block conclut sa missive en indiquant qu’ « après avoir été révolté pendant des années par l’indifférence manifeste en matière de sécurité des entreprises comme Lemonade, j’ai conclu que la seule façon de faire la différence était que des gens comme vous soient tenus publiquement responsables ».

Lemonade réfute ces allégations

De son côté, Lemonade s’est défendu de telles allégations. Dans une série de tweets, Shai Wininger, le co-fondateur de l’insurtech s’est efforcé de démontrer qu’il ne s’agissait pas d’une vulnérabilité, mais plutôt de design. « Nous avons conçu nos cotations pour qu’elles soient partageables. Si quelqu’un veut les envoyer à sa famille, à ses amis ou à son organisme hypothécaire, il le peut. Il s’avère que certaines personnes publient leurs cotations sur Pinterest et sur des blogs, et ce sont sur eux que Muddy Waters est tombé », explique-t-il. Et ce dernier de conclure avec une pointe d’humour, « puisque Google indexe déjà Pinterest et ces blogs, ces liens finissent par être détectables sur Google – et Muddy Waters les a découvert. Nous espérons qu’ils n’ont pas passé trop de temps sur le sujet… ».

1/ Let’s set things straight up front: What @muddywatersre found were links to 4 insurance quotes shared by Lemonade users themselves. (aka, they loved it so much, they shared ‘em).

That is not a vulnerability, it’s by design! https://t.co/JJhFmOzUAW

— Shai Wininger (@shai_wininger) May 13, 2021

2/ We designed our quotes to be shareable. If someone wants to send their quote to their family, friends, or mortgage bank, they can. Btw, turns out people post their quotes on Pinterest and UX blogs, and these are the ones they stumbled upon

— Shai Wininger (@shai_wininger) May 13, 2021

Lire la suite ici : Insurtech : Une faille de sécurité met Lemonade sous pression (source : News Assurances Pro – Media Indépendant des assureurs, mutuelles et institutions de prévoyance)

News Assurances Pro

Insurtech : Les levées de fonds ont progressé en France en 2020

janvier 01, 2021

Les jeunes sociétés technologiques de la finance et de l’assurance ont levé 828,2 millions d’euros en 2020, soit une progression de 18,5% par rapport à 2019, a révélé mardi une étude de l’association France Fintech.

Cette “belle performance annuelle”, selon le communiqué diffusé par l’organisme, est d’autant plus remarquable que le marché européen a connu un déclin de 7% cette année. Le nombre d’opérations reste quant à lui presque identique à celui de l’année précédente (63 contre 64 en 2019) et le ticket moyen a augmenté de 20,6%, à 13,1 millions d’euros.

Ces jeunes sociétés technologiques de la finance et de l’assurance, regroupées sous le terme “fintech”, ont représenté 15% des levées de fonds du secteur numérique, contre 13% en 2019. Selon France Fintech, “l’année avait vigoureusement démarré”, avant de ralentir “significativement” avec la crise sanitaire et le premier confinement. Si le déconfinement a permis une légère reprise, l’été et l’automne “ont été marqués par l’attentisme”. Ce qui n’a pas empêché l’année de se terminer “comme elle avait débuté, sur une tendance très positive”, avec un mois de décembre presque aussi dynamique que celui de janvier.

Deux entreprises ont réussi à lever plus de 100 millions d’euros en 2020: Qonto, une banque en ligne à destination des professionnels (104 millions d’euros levés) et la société de paiement mobile Lydia, qui a levé 112 millions en deux temps (40 millions en janvier et 72 en décembre). Dataiku, qui fournit à de grandes entreprises des outils d’intelligence artificielle, clôt le trio de tête avec 100 millions de dollars levés en août, soit environ 82 millions d’euros au cours actuel.

Lire la suite ici : Insurtech : Les levées de fonds ont progressé en France en 2020 (source : News Assurances Pro – Media Indépendant des assureurs, mutuelles et institutions de prévoyance)

News Assurances Pro

InsurTech : les gagnants et les perdants

mai 20, 2017

Les vrais disrupteurs sont rares dans le secteur de l’assurance, selon une étude Oliver Wyman. La gestion de sinistres est le domaine le plus porteur. Lire l’article
L’Argus de l’Assurance – Acteurs

Les insurtech sortent de l’ombre

mars 24, 2017

Le temps des insurtech semble bien venu avec l’éclosion de ces start-up qui pratiquent un pan du métier des assureurs. La profession porte aujourd’hui sur ces jeunes pousses, souvent inscrites à l’Orias, voire agréées par l’ACPR, un regard acéré. Lire l’article
L’Argus de l’Assurance – Acteurs

insurtech