昨晚，一些预购了必备**的客户收到一封电子邮件，要求提供***复印件，表面上是为了核实地址，以防诈骗。

许多客户回复了他们的个人信息，但这些邮件并不仅仅是必不可少的。取而代之的是，他们把邮件发给了所有收到原始邮件的人。这意味着，目前掌握对方驾照、出生日期和地址信息的基本客户数量不详。

这起事件被许多媒体报道为网络钓鱼，因为它看起来和闻起来都很像网络钓鱼企图：一个奇怪的个人信息请求。在检查了邮件头之后，看起来这并不是一次真正的网络钓鱼尝试。更可能的是，这是一个巨大的混乱，一个错误配置的客户支持电子邮件列表的结果。

以下是最初通过Reddit上的Cygnosity发送并由另一位客户转发到Verge的电子邮件Essential：

On Aug 29, 2017, at 9:23 PM, Customer Care [email protected] wrote:

Hi,

Our order review team requires additional verifying information to complete the processing of your recent order. 

This verification is performed to protect against unauthorized use of your payment information and similar to what is conducted for in-person purchases. 

Please provide an alternative email and phone number to confirm this purchase..

We would like to request a picture of a photo ID (e.g. driver’s license, state ID, passport) clearly showing your photo, signature and address. NOTE: the address on the ID should match the billing address listed on your recent order.

We apologize for the inconvenience and appreciate your cooperation.  Once verified, we look forward to shipping your order.

Thanks!

Essential Products Customer Care

我们与收到电子邮件的一位客户罗恩·施奈尔教授进行了交谈，他对数字取证也非常了解（他曾担任兰德·保罗总统竞选的首席技术官）。

施奈尔对邮件头的分析是，这些邮件确实回到了本质，而不是一个随机的骗子。他在Reddit上是这样描述的：

It is not a Phishing scam. It is a misconfiguration. The DKIDs check-out, and the replies are actually going to Essential (and then many other people). I've accumulated quite a collection of D/Ls, Passports, credit card statements, phone numbers, and e-mail addresses. This is unbelievable.

似乎发生的是，Essential有一份客户名单需要核实，以防止欺诈，所以它向他们发送了一封电子邮件，要求提供更多信息。但该电子邮件地址被设置为一个组电子邮件，这意味着发送给它的回复将发送给该电子邮件列表中的每个人。这是一个配置错误的****门户网站Zendesk上的客户支持地址。

我们不知道电子邮件地址是如何或为什么这样配置的。施奈尔说，这可能是一个简单的配置错误，甚至可能是一个不满的员工。不管最初的原因是什么——网络钓鱼骗局，愚蠢的错误，还是其他什么——最终的结果是，人们发送的带有个人信息的电子邮件最终流向了完全陌生的人。

一夜之间，顾客的收件箱里塞满了这样的电子邮件：

如您所见，来自客户的电子邮件被标识为来自[email protected] 它被发送给了许多其他的客户。许多包括附件和链接到驾照图像。

值得注意的是，Essential自己除了下面的推文（tweet）之外几乎没有说什么，该推文没有将电子邮件定性为骗局，并进一步指出“我们已经采取措施减轻影响”。这些“步骤”似乎至少包括关闭每个人都在回复的电子邮件列表。

Essential首席执行官安迪·鲁宾（Andy Rubin）随后道歉，称这起事件“令人羞辱”，他认为自己“对错误负有个人责任”。鲁宾还指出，Essential将为受影响的用户提供一年的救生圈。

这是一个巨大的失误，来自一个喜欢把自己描述成好斗和小公司的公司。但好斗是一回事，对客户的个人信息马虎完全是另一回事。

与此同时，其他客户仍在等待他们预定的**发货——Essential曾表示他们正在发货，但订单到达的时间比任何人预期的都要长。

更新8月30日，美国东部时间下午7:54：本文已更新，包括Essential对错误的道歉。