Hay de errores a regadas... La noche del lunes 29 de agosto, diversas personas que preordenaron el celular Essential recibieron un correo electrónico solicitándoles enviar una copia de una identificación oficial, como la licencia de conducir, para verificar sus direcciones y evitar fraudes. La respuesta de los clientes con su información personal no solo le llegó a Essential, sino a todos los remitentes del mail original.

¿Intento de phishing? Así lo consideraron diversos puntos de venta. Sin embargo, tras examinar los encabezados del correo electrónico, no parece que fuera un intento de phishing, sino una gran regada por parte de quien haya configurado erróneamente el mail de respuesta de los clientes con todas sus direcciones de correo electrónico.

El usuario Cygnosity de Reddit compartió a través de esta red el correo electrónico original en el que Essential solicita una identificación con fotografía y dirección. Por su parte, el profesor Ron Schell, ex Director de Tecnología de la campaña presidencial de Rand Paul, compartió su análisis en la discusión suscitada, en el cual señala que los encabezados del correo electrónico de estos mensajes realmente son de Essential y no de algún estafador. Así lo explicó:

No es una estafa de phishing. Es una configuración errónea. El DKIDs check-out, y las respuestas llegan en realidad a Essential (y luego a muchas otras personas). He acumulado una gran colección de D/L, pasaportes, estados de cuenta de tarjetas de crédito, números de teléfono y direcciones de correo electrónico. Es increíble.

Al parecer, Essential tenía una lista de clientes que tenía que verificar para evitar fraudes, así que les envió un correo electrónico solicitándoles más información. Pero esa dirección de correo electrónico estaba configurada como un correo grupal, por lo que las respuestas enviadas a él le llegaron a todos los miembros en la lista del mail. Fue una dirección de cliente mal configurada en Zendesk, un portal de servicio al cliente.

"No sabemos cómo o por qué la dirección del correo electrónico estaba configurada así. Pudo haber sido una simple desconfiguración o incluso un empleado potencialmente descontento, comentó Schnell.

Cualquiera que fuera la causa original -una estafa de phishing, un estúpido error, o cualquier otra cosa— el resultado final es que las personas enviaron un correo con información personal que terminó en las manos de completos extraños.

De acuerdo con los correos a los que tuvo acceso The Verge, los mails de respuesta enviados por los clientes aparecían como enviados desde la dirección [email protected] con copia al correo de los otros consumidores que conforman la lista del mail grupal. Muchos incluyen un archivo adjunto con la imagen de la licencia de conducir.

La respuesta que Essential dio sobre el incidente a través del siguiente tuit da a entender que efectivamente admite que se trata de un error interno y no de un intento de estafa de phishing:

Somos conscientes de y estamos analizando un reciente mail recibido por algunos clientes. Hemos tomado pasos para mitigar y actualizaremos con más información pronto.

Estos "pasos" incluyen, por lo menos, haber cerrado por completo la lista con la dirección de correos electrónicos a la cual todos están enviando sus respuestas.