Telehealth-giganten Hims ramt af databrud der afslører patientjournaler

Telehealth-virksomheden Hims & Hers Health har bekræftet et databrud, der har afsløret nogle af de mest følsomme kategorier af personlige oplysninger, en virksomhed kan besidde: Beskyttede helbredsoplysninger (PHI). Bruddet opstod, efter at trusselsaktører fik uautoriseret adgang til en tredjeparts kundesupportplatform, som virksomheden benytter. De eksponerede data omfattede oplysninger indeholdt i kundesupporthenvendelser, hvilket i en telehealth-sammenhæng betyder detaljer knyttet til recepter, medicinske konsultationer og personlige helbredstilstande.

Hackergruppen ShinyHunters har påtaget sig ansvaret for angrebet. Gruppen er velkendt i cybersikkerhedskredse for storskalerede datatyverioperationer og er blevet forbundet med adskillige højprofilerede brud i de seneste år. Deres involvering giver umiddelbar anledning til bekymring over, hvad der sker med de stjålne data efterfølgende – herunder potentialet for afpresning, videresalg på darkweb-markeder eller målrettede phishing-kampagner mod berørte brugere.

Hvorfor tredjepartsleverandører er et svagt led i sundhedssikkerheden

Et af de vigtigste detaljer i dette brud er, hvor det skete: ikke inde i Hims' kerneinfrastruktur, men via en tredjeparts kundesupportplatform. Dette er et mønster, der er blevet stadig mere almindeligt og stadig mere konsekvensrigt.

Store virksomheder outsourcer rutinemæssigt funktioner som kundesupport, fakturering og dataopbevaring til specialiserede leverandører. Hver af disse leverandører bliver en forlængelse af virksomhedens angrebsflade. Når en bruger tilmelder sig en telehealth-tjeneste, stoler de ikke kun på den pågældende virksomhed med deres data. De stoler også på enhver leverandør, underleverandør og softwareudbyder, som virksomheden samarbejder med.

Dette er særligt problematisk inden for sundhedssektoren. I henhold til amerikansk lovgivning er virksomheder, der håndterer PHI, forpligtet til at sikre, at deres forretningspartnere og leverandører overholder HIPAA-standarderne. Men overholdelse på papiret oversættes ikke altid til effektiv sikkerhed i den virkelige verden. En velfinansieret virksomhed som Hims kan investere kraftigt i sine egne forsvarsforanstaltninger, mens den stadig er eksponeret via en leverandør med svagere kontroller.

Hims-bruddet er ikke et isoleret tilfælde. Sundheds- og telehealth-virksomheder er blevet primære mål netop fordi de data, de besidder, er så værdifulde. Patientjournaler opnår betydeligt højere priser på kriminelle markeder end kreditkortnumre, fordi de indeholder oplysninger, der ikke nemt kan ændres, og som kan bruges til forsikringsbedrageri, identitetstyveri og målrettet social manipulation.

Hvad dette betyder for dig

Hvis du er kunde hos Hims eller Hims & Hers, bør du antage, at oplysninger, du har delt via kundesupportkanaler, kan være blevet eksponeret. Dette kan omfatte dit navn, dine kontaktoplysninger og detaljer om medicinske konsultationer eller recepter, som du har diskuteret med supportteamet.

Mere bredt er dette brud en nyttig påmindelse om de risici, der følger med lagring af følsomme personlige oplysninger i centraliserede systemer. Telehealth-platforme er bygget omkring bekvemmelighed, og denne bekvemmelighed betyder ofte, at dine helbredsdata konsolideres på måder, der skaber attraktive mål for angribere. Jo flere data en virksomhed besidder, og jo flere leverandører den deler disse data med, desto større er den potentielle skaderadius, når noget går galt.

Dette betyder ikke, at du bør undgå telehealth-tjenester. For mange mennesker giver de adgang til pleje, der ellers ville være vanskelig eller dyr at opnå. Men det betyder, at du bør overveje nøje, hvilke oplysninger du deler via enhver digital sundhedsplatform – herunder via supporthenvendelser og chatfunktioner – som kan blive lagret og behandlet uden for virksomhedens primære systemer.

Konkrete skridt efter et brud på helbredsdata

Hvis du bruger Hims & Hers eller en lignende telehealth-platform, er her nogle konkrete skridt, det er værd at tage lige nu:

  • Overvåg for phishing-forsøg. Angribere, der anskaffer sig sundhedsrelaterede data, bruger dem ofte til at udforme overbevisende phishing-beskeder. Vær skeptisk over for uopfordrede e-mails eller beskeder, der refererer til dine helbredstilstande, medicin eller tidligere interaktioner med platformen.
  • Tjek dine konti. Gennemgå din Hims-konto og eventuelle tilknyttede betalingsmetoder for usædvanlig aktivitet. Rapporter alt mistænkeligt til både platformen og dit pengeinstitut.
  • Hold øje med identitetsbedrageri. Medicinsk identitetstyveri – hvor nogen bruger dine oplysninger til svigagtigt at opnå recepter eller forsikringsydelser – kan være svært at opdage. Overvej at placere en svindeladvarsel hos de store kreditbureauer og overvåge dine forsikringsopgørelser for ydelser, du ikke har modtaget.
  • Begræns hvad du deler i supporthenvendelser. Fremover bør du være opmærksom på, at kundesupportkanaler hos enhver virksomhed kan håndteres af tredjepartsleverandører med deres eget sikkerhedsniveau. Undgå at dele flere detaljer end strengt nødvendigt.
  • Hold dig informeret om bruddet. Hold øje med officielle meddelelser fra Hims om omfanget af hændelsen og eventuelle afhjælpende tiltag, de tilbyder, såsom kreditovervågningstjenester.

Databrud hos sundhedsvirksomheder vil ikke forsvinde. Efterhånden som flere sundhedstjenester flytter online, vil mængden af følsomme medicinske data på digitale platforme kun vokse. At være en omhyggelig og informeret bruger af disse tjenester er et af de mest effektive forsvar, der er tilgængeligt for almindelige mennesker. At forstå, hvem der besidder dine data, og hvad de gør med dem, er et rimeligt udgangspunkt for at beskytte dig selv.