Únik dat u společnosti Hims odhaluje citlivé zdravotní záznamy

Telehealth gigant Hims zasažen únikem dat odhalujícím zdravotní záznamy

Telehealth společnost Hims & Hers Health potvrdila únik dat, při němž byly odhaleny některé z nejcitlivějších kategorií osobních informací, které může společnost uchovávat: chráněné zdravotní informace (PHI). K úniku došlo poté, co útočníci získali neoprávněný přístup k platformě zákaznické podpory třetí strany, kterou společnost využívá. Odhalená data zahrnovala informace obsažené v tiketech zákaznické podpory, což v kontextu telehealth služeb znamená údaje spojené s předpisy léků, lékařskými konzultacemi a osobními zdravotními stavy.

Odpovědnost za útok přijala hackerská skupina ShinyHunters. Tato skupina je v oblasti kybernetické bezpečnosti dobře známá rozsáhlými operacemi krádeže dat a v posledních letech byla spojena s několika vysoce medializovanými úniky. Jejich zapojení okamžitě vyvolává obavy ohledně toho, co se se odcizeními daty stane dál – včetně možného vydírání, prodeje na trzích temného webu nebo cílených phishingových kampaní namířených proti dotčeným uživatelům.

Proč jsou dodavatelé třetích stran slabým článkem v oblasti bezpečnosti ve zdravotnictví

Jedním z nejdůležitějších detailů tohoto úniku je místo, kde k němu došlo: nikoli uvnitř základní infrastruktury společnosti Hims, ale prostřednictvím platformy zákaznické podpory třetí strany. Jde o vzorec, který se stává stále běžnějším a stále závažnějším.

Velké společnosti běžně outsourcují funkce jako zákaznická podpora, fakturace nebo ukládání dat specializovaným dodavatelům. Každý z těchto dodavatelů se stává rozšířením útočné plochy společnosti. Když se uživatel zaregistruje k telehealth službě, nesvěřuje svá data pouze té konkrétní společnosti. Svěřuje je také každému dodavateli, smluvnímu partnerovi a poskytovateli softwaru, se kterým tato společnost spolupracuje.

V oblasti zdravotnictví je to obzvláště problematické. Podle amerického práva jsou společnosti nakládající s PHI povinny zajistit, aby jejich obchodní partneři a dodavatelé splňovali standardy HIPAA. Soulad s předpisy na papíře však ne vždy odpovídá skutečně účinné bezpečnosti v praxi. Dobře zajištěná společnost jako Hims může investovat značné prostředky do vlastní obrany a přitom zůstávat zranitelná prostřednictvím dodavatele se slabšími kontrolními mechanismy.

Únik dat u společnosti Hims není ojedinělým případem. Zdravotnické a telehealth společnosti se staly hlavními cíli právě proto, že data, která uchovávají, jsou nesmírně cenná. Zdravotní záznamy se na kriminálních trzích prodávají za výrazně vyšší ceny než čísla kreditních karet, protože obsahují informace, které nelze snadno změnit a lze je využít k pojišťovacím podvodům, krádeži identity a cílenému sociálnímu inženýrství.

Co to znamená pro vás

Pokud jste zákazníkem společnosti Hims nebo Hims & Hers, měli byste předpokládat, že informace, které jste sdíleli prostřednictvím kanálů zákaznické podpory, mohly být odhaleny. Může jít o vaše jméno, kontaktní údaje a informace o lékařských konzultacích nebo předpisech léků, které jste se zákaznickou podporou probírali.

V širším kontextu je tento únik užitečnou připomínkou rizik spojených s ukládáním citlivých osobních informací v centralizovaných systémech. Telehealth platformy jsou postaveny na pohodlí a toto pohodlí často znamená konsolidaci zdravotních dat způsobem, který vytváří atraktivní cíle pro útočníky. Čím více dat společnost uchovává a čím více dodavatelů tato data sdílí, tím větší je potenciální rozsah škod, když se něco pokazí.

To neznamená, že byste se měli telehealth službám vyhýbat. Pro mnoho lidí poskytují přístup k péči, která by jinak byla obtížně dostupná nebo nákladná. Znamená to však, že byste měli pečlivě zvážit, jaké informace sdílíte prostřednictvím jakékoli digitální zdravotnické platformy – včetně tiketů podpory a chatových funkcí, které mohou být ukládány a zpracovávány mimo primární systémy společnosti.

Konkrétní kroky po úniku zdravotních dat

Pokud používáte Hims & Hers nebo podobnou telehealth platformu, zde jsou konkrétní kroky, které stojí za to podniknout hned teď:

• Sledujte pokusy o phishing. Útočníci, kteří získají data týkající se zdraví, je často využívají k sestavení velmi přesvědčivých phishingových zpráv. Buďte obezřetní vůči jakýmkoli nevyžádaným e-mailům nebo zprávám, které odkazují na vaše zdravotní podmínky, léky nebo předchozí interakce s platformou.
• Zkontrolujte své účty. Zkontrolujte svůj účet u Hims a všechny propojené platební metody z hlediska neobvyklé aktivity. Vše podezřelé nahlaste jak platformě, tak vaší finanční instituci.
• Sledujte příznaky podvodu s identitou. Krádež zdravotnické identity – kdy někdo využije vaše informace k podvodnému získání předpisů léků nebo pojistných dávek – může být obtížné odhalit. Zvažte umístění výstrahy před podvodem u hlavních úvěrových registrů a sledujte výpisy od pojišťovny ohledně služeb, které jste neobdrželi.
• Omezte, co sdílíte v tiketech podpory. Do budoucna mějte na paměti, že kanály zákaznické podpory u jakékoli společnosti mohou být spravovány dodavateli třetích stran s vlastní úrovní zabezpečení. Vyhýbejte se sdílení více informací, než je nezbytně nutné.
• Zůstaňte informováni o úniku. Sledujte oficiální komunikaci od společnosti Hims ohledně rozsahu incidentu a jakýchkoli nápravných kroků, které nabízejí, jako například služby monitorování kreditní zprávy.

Úniky dat u zdravotnických společností nezmizí. S tím, jak se stále více zdravotních služeb přesouvá online, bude množství citlivých zdravotních dat uchovávaných digitálními platformami pouze narůstat. Být obezřetným a informovaným uživatelem těchto služeb je jednou z nejúčinnějších dostupných obran pro běžné lidi. Porozumět tomu, kdo vaše data uchovává a co s nimi dělá, je rozumným výchozím bodem pro ochranu vaší osoby.