Один из создателей операционной системы Android, Энди Рубин (Andy Rubin), уже давно покинул Google и в последние годы работал над совсем другим проектом — созданием смартфона Essential. Выход устройства неоднократно задерживался, но поставки все же стартовали 25 августа 2017 года.
Однако не успели оформившие предварительный заказ пользователи порадоваться тому, что скоро получат аппарат на руки, как их попросили об очень странной вещи: некоторые покупатели получили письма от разработчиков с просьбой верифицировать свой почтовый адрес, якобы с целью предотвращения мошенничества. Для этого пользователей попросили выслать по электронной почте копию удостоверения личности, к примеру, водительских прав или паспорта, где будут хорошо видны фотография, подпись и адрес, совпадающий с адресом доставки заказа. Многие расценили эти послания как фишинговую атаку, что вовсе неудивительно, ведь, казалось бы, кто в 2017 году может запрашивать конфиденциальные данные по почте, так запросто? Однако выяснилось, что письма были настоящими.
Хуже того, некоторые пользователи не сочли эти сообщения странными (или напротив, изучили их очень тщательно и пришли к выводу, что послания явно написаны не мошенниками) и отправили в ответ свои личные данные. Но из-за неправильной конфигурации рассылки эти ответы с личной информацией оказались видны всем получателям оригинального письма. В итоге почтовые ящики попавших в эту рассылку покупателей оказались заполнены фотографиями чужих паспортов и водительских прав.
Вскоре в твиттере Essential появилось сообщение, согласно которому разработчики были в курсе случившегося, но они тоже не назвали происходящее фишингом или скамом, лишь заверили, что уже решают проблему.
We’re aware of & looking into a recent e-mail received by some customers. We’ve taken steps to mitigate & will update with more info soon.
— Essential (@essential) August 30, 2017
В итоге ситуацию был вынужден прояснять сам Энди Рубин, который вчера опубликовал в блоге сообщение с извинениями. Рубин пишет, что неверно сконфигурированный адрес уже был отключен (чтобы люди не продолжали отправлять на него свои личные данные), а ответственность за случившееся лежит лично на нем. Разработчик объясняет, что произошла досадная ошибка и говорит, что случившееся было «унизительным» для пользователей. По его словам в ходе инцидента пострадало около 70 человек. Теперь им будет предложен год бесплатной защиты LifeLock, сервиса, предотвращающего кражу личности.