Talkspace amenazó con demandar a un investigador de seguridad por informe de error – TechCrunch


Un investigador de seguridad dijo que se vio obligado a eliminar una publicación de blog que describe un error aparente en Talkspace's sitio web que le dio una suscripción gratuita por un año, después de que la compañía rechazó sus hallazgos y le envió al investigador una amenaza legal.

John Jackson dijo que pudo inscribirse en Talkspace, una aplicación de terapia popular, como si fuera un empleado de una de las compañías cuyos planes de seguro médico cubren los servicios de Talkspace. Algunos de estos enlaces de registro se encuentran en los resultados de búsqueda de Google, algunos de los cuales no se anuncian

en el sitio web de la empresa.

Pero Jackson dijo que encontró poca o ninguna evidencia de que la página de registro verifique que un usuario sea elegible para la suscripción gratuita de un año.

Jackson probó su teoría creando una cuenta. Un mes después, la cuenta aún está activa, dijo.

Talkspace no ofrece una forma para que los investigadores de seguridad envíen errores. Con la ayuda de TechCrunch, el investigador contactó a Talkspace para advertir sobre el posible error, temiendo que los hackers o usuarios malintencionados pudieran estar abusando del sistema y reclamando una terapia gratuita. Pero la compañía rechazó los reclamos y le dijo a Jackson que tiene "múltiples procesos internos para proteger contra los abusos", sin proporcionar detalles.

A las pocas horas de que Jackson publicara sus hallazgos en su blog, que TechCrunch ha visto, Talkspace le envió a Jackson una carta de cese y desistimiento, acusando al investigador de difamar a Talkspace "transmitiendo falsedades" en su publicación de blog.

"En ningún caso Talkspace cobraría a un socio de la empresa o un plan de salud por los servicios prestados a un usuario no considerado elegible por ese socio", decía la carta, firmada y enviada por el asesor general de Talkspace, John Reilly.

"Esta carta es un aviso formal de cesar y desistir, así como también retractarse de inmediato de tales declaraciones con una aclaración a sus declaraciones erróneas evidentes y dañinas", decía la carta. "No hacerlo resultará en acciones legales adicionales e inmediatas".

Cuando se llegó, Talkspace no dijo en el registro cuáles son sus mecanismos antifraude, o si o cuántos incidentes fraudulentos ha descubierto, solo que el programa de registro está "diseñado en colaboración con cada socio en función de sus objetivos individuales, ”Dijo Gil Margolin, director técnico de Talkspace.

Hemos publicado la carta de cese y desistimiento. La carta no abordaba las afirmaciones técnicas hechas por Jackson en su publicación de blog.

Cuando fue contactada, la portavoz de Talkspace, JoAnna Di Tullio, aplazó el comentario a Reilly, quien repitió las afirmaciones de su carta, de que la compañía es "muy consciente de cómo estructuramos nuestras relaciones con los empleadores y aseguramos la elegibilidad para nuestros servicios", y describió la publicación del blog de Jackson como " difamación pura "y" completamente falso ".

El caso de Jackson es solo el último ejemplo de investigadores de seguridad que enfrentan amenazas legales por su trabajo. Hace meses, el investigador de seguridad aeroespacial Chris Kubecka dijo que estaba amenazado por Boeing después de encontrar un problema de seguridad en un avión. Dos investigadores de seguridad también fueron procesados ​​el año pasado en medio de reclamos sobrepasaron los límites de su prueba de penetración en un juzgado de Iowa. El caso fue abandonado más tarde.

En la actualidad, muchas empresas adoptan a los investigadores de seguridad al ofrecer programas de informes de errores, que recompensan o pagan a los investigadores por encontrar fallas de seguridad y otros errores que de otra manera no serían reportados y explotados por piratas informáticos maliciosos.

Otras compañías, como Dropbox, Mozilla y Tesla, van más allá al ofrecer disposiciones de "puerto seguro" al prometer no tomar acciones legales contra los investigadores que actúan de buena fe.


¿Tienes una propina? Puede enviar consejos de forma segura a través de Signal y WhatsApp al +1 646-755–8849.

LO MÁS LEÍDO

Leave a Reply

Your email address will not be published. Required fields are marked *