Compania de telemedicină Hims & Hers, care comercializează medicamente pentru slăbit și prescripții pentru sănătatea sexuală, a confirmat o breșă de date care afectează platforma sa terță parte de servicii pentru clienți. Compania a declarat într-o notificare de breșă de date depusă la biroul procurorului general din California joi, că hackerii au furat date despre cererile utilizatorilor trimise echipei de suport clienți ai companiei. Compania a precizat că hackerii au pătruns în sistemul său terță parte de ticketing între 4 și 7 februarie și au furat cantități mari de tichete de suport, care conțineau informații personale trimise de clienți.
Notificarea de breșă de date a indicat că hackerii au obținut numele clienților și informațiile de contact, precum și alte date personale nespecificate pe care Hims & Hers le-a lăsat redactate în scrisoare. Deși compania susține că dosarele medicale ale clienților nu au fost afectate de breșă, natura sistemelor de suport clienți înseamnă că datele pot conține informații sensibile despre contul unei persoane, informații personale și despre sănătate.
Nu se știe încă câți indivizi au avut informații personale compromise în acest hack. Conform legii californiene, companiile sunt obligate să dezvăluie breșele de date care implică 500 sau mai mulți rezidenți ai statului.
Jake Martin, purtător de cuvânt al Hims & Hers, a declarat pentru TechCrunch într-o declarație că compania a fost lovită de un atac de inginerie socială, în care hackerii păcălesc angajații să acorde acces la sistemele lor. Purtătorul de cuvânt a declarat că datele furate „includeau în principal numele clienților și adresele de e-mail." Compania nu a specificat ce tipuri de date au fost preluate, când a fost întrebată de TechCrunch. Compania nu a dorit să spună dacă a primit vreo comunicare de la hackeri, cum ar fi o cerere de bani.
Sistemele de suport clienți și ticketing au devenit ținte bogate pentru hackeri motivați financiar în ultimele luni, prin raiduri în bazele de date care conțin informații despre clienți și șantajarea companiilor pentru a plăti o răscumpărare. Anul trecut, Discord a avut o breșă de date care a afectat sistemul său de ticketing de suport clienți și a expus cărțile de identitate emise de guvern a aproximativ 70.000 de persoane care își trimiseseră permisele de conducere și pașapoartele companiei pentru a-și verifica vârsta.
Această breșă de date reprezintă un reminder important pentru companiile din domeniul sănătății digitale cu privire la vulnerabilitățile sistemelor terță parte pe care le utilizează. Chiar dacă sistemele principale de management al sănătății rămân intacte, atacatorii pot exploata punctele slabe din lanțul de aprovizionare tehnologică pentru a obține acces la date sensibile ale consumatorilor. În cazul Hims & Hers, deși compania a confirmat că înregistrările medicale nu au fost accesate, simplul fapt că informațiile de contact și alte date personale au fost compromise ridică îngrijorări legitime privind confidențialitatea clienților care au solicitat servicii legate de sănătatea personală.
Experții în securitate cibernetică subliniază că sistemele de ticketing și suport clienți sunt adesea subestimate din punct de vedere al securității, deși conțin cantități semnificative de date personale și pot dezvălui detalii intime despre preferințele și problemele de sănătate ale utilizatorilor. Aceste informații pot fi folosite nu doar pentru furt de identitate, ci și pentru șantaj sau phishing direcionat, mai ales când vine vorba de servicii sensibile precum cele oferite de Hims & Hers în domeniul sănătății sexuale și al gestionării greutății.
Companiile din sectorul telehealth sunt deosebit de vulnerabile la astfel de atacuri deoarece operează la intersecția dintre date medicale sensibile și platforme digitale comerciale, fiind nevoite să utilizeze multiple sisteme terță parte pentru funcționalități precum suport clienți, procesare plăți și managementul programărilor. Această complexitate tehnologică creează multiple puncte de intrare pentru atacatori care caută să exploateze cel mai slab verigă din lanțul tehnologic al unei organizații.
Pentru consumatori, această breșă subliniază importanța vigilancei în ceea ce privește comunicările suspecte care ar putea apărea în urma compromiterii datelor lor de contact. Experții recomandă monitorizarea atentă a e-mailurilor pentru încercări de phishing, verificarea oricăror solicitări neașteptate de informații personale și considerarea utilizării autentificării cu doi factori acolo unde este posibil pentru a proteja conturile personale.
Gigantul telehealth Hims & Hers confirmă că sistemul său de suport clienți a fost spart de hackeri
