Телездравният гигант Hims е ударен от пробив в данните, разкриващ медицински досиета

Телездравната компания Hims & Hers Health потвърди пробив в данните, при който са разкрити едни от най-чувствителните категории лична информация, които една компания може да съхранява: Защитена здравна информация (PHI). Пробивът е настъпил след като заплашители са получили неоторизиран достъп до платформа за обслужване на клиенти на трета страна, използвана от компанията. Разкритите данни включват информация, съдържаща се в билети за клиентска поддръжка, което в контекста на телездравеопазването означава подробности, свързани с рецепти, медицински консултации и лични здравословни състояния.

Хакерската група ShinyHunters е поела отговорност за атаката. Групата е добре позната в киберсигурностните среди с мащабни операции за кражба на данни и е свързана с няколко широко известни пробива през последните години. Нейното участие повдига незабавни опасения относно това, което ще се случи с откраднатите данни — включително потенциал за изнудване, препродажба на пазари в тъмната мрежа или целенасочени фишинг кампании срещу засегнатите потребители.

Защо доставчиците от трети страни са слабото звено в здравната сигурност

Един от най-важните детайли в този пробив е къде се е случил: не в основната инфраструктура на Hims, а чрез платформа за клиентска поддръжка на трета страна. Това е модел, който е станал все по-разпространен и все по-значим по последствия.

Големите компании рутинно възлагат на подизпълнители функции като клиентска поддръжка, фактуриране и съхранение на данни на специализирани доставчици. Всеки от тези доставчици се превръща в разширение на повърхността за атака на компанията. Когато потребител се регистрира за телездравна услуга, той не просто се доверява на тази компания с данните си. Той се доверява и на всеки доставчик, изпълнител и софтуерен доставчик, с когото компанията работи.

Това е особено проблематично в здравеопазването. Съгласно американското законодателство, компаниите, обработващи PHI, са длъжни да гарантират, че техните бизнес партньори и доставчици отговарят на стандартите за съответствие с HIPAA. Но съответствието на хартия не винаги се превежда в ефективна реална сигурност. Добре обезпечена компания като Hims може да инвестира сериозно в собствената си защита, докато остава уязвима чрез доставчик с по-слаби контроли.

Пробивът в Hims не е изолиран случай. Здравните и телездравните компании са се превърнали в основни цели именно защото данните, които съхраняват, са толкова ценни. Медицинските досиета достигат значително по-високи цени на криминалните пазари от номерата на кредитни карти, тъй като съдържат информация, която не може лесно да бъде променена и може да бъде използвана за застрахователни измами, кражба на самоличност и целенасочено социално инженерство.

Какво означава това за вас

Ако сте клиент на Hims или Hims & Hers, трябва да приемете, че информацията, която сте споделили чрез каналите за клиентска поддръжка, може да е била разкрита. Това може да включва вашето име, данни за контакт и подробности относно медицински консултации или рецепти, обсъждани с екипа за поддръжка.

По-широко погледнато, този пробив е полезно напомняне за рисковете, свързани със съхранението на чувствителна лична информация в централизирани системи. Телездравните платформи са изградени около удобство и това удобство често означава консолидиране на вашите здравни данни по начини, които създават привлекателни цели за атакуващите. Колкото повече данни съхранява дадена компания и колкото повече доставчици споделят тези данни, толкова по-голям е потенциалният радиус на поразяване, когато нещо се обърка.

Това не означава, че трябва да избягвате телездравните услуги. За много хора те осигуряват достъп до грижи, които иначе биха били трудни или скъпи за получаване. Но означава, че трябва да мислите внимателно каква информация споделяте чрез всяка цифрова здравна платформа — включително чрез билети за поддръжка и чат функции, които може да се съхраняват и обработват извън основните системи на компанията.

Практически стъпки след пробив в здравните данни

Ако използвате Hims & Hers или подобна телездравна платформа, ето някои конкретни стъпки, които си струва да предприемете точно сега:

  • Следете за опити за фишинг. Атакуващите, получили здравни данни, често ги използват за изграждане на изключително убедителни фишинг съобщения. Бъдете скептични към всякакви непоискани имейли или съобщения, които споменават вашите здравословни състояния, лекарства или предишни взаимодействия с платформата.
  • Проверете акаунтите си. Прегледайте акаунта си в Hims и всички свързани методи на плащане за необичайна активност. Докладвайте всичко подозрително както на платформата, така и на вашата финансова институция.
  • Следете за измами със самоличността. Медицинската кражба на самоличност — при която някой използва вашата информация за измамно получаване на рецепти или застрахователни обезщетения — може да бъде трудна за установяване. Помислете за поставяне на предупреждение за измама при основните кредитни бюра и наблюдавайте застрахователните си извлечения за услуги, които не сте получавали.
  • Ограничете това, което споделяте в билети за поддръжка. Занапред имайте предвид, че каналите за клиентска поддръжка на всяка компания могат да се обслужват от доставчици от трети страни с техния собствен профил на сигурност. Избягвайте да споделяте повече подробности, отколкото е строго необходимо.
  • Бъдете информирани относно пробива. Следете официалните комуникации от Hims относно обхвата на инцидента и всички мерки за отстраняване, които предлагат — като например услуги за наблюдение на кредита.

Пробивите в данните на здравни компании няма да изчезнат. С прехода на все повече здравни услуги онлайн, количеството чувствителни медицински данни, съхранявани от цифровите платформи, ще продължава да расте. Да бъдете внимателен и информиран потребител на тези услуги е една от най-ефективните защити, достъпни за обикновените хора. Разбирането на това кой съхранява вашите данни и какво прави с тях е разумна отправна точка за защита на себе си.