Le géant de la télémédecine Hims victime d'une violation de données exposant des dossiers médicaux

La société de télémédecine Hims & Hers Health a confirmé une violation de données ayant exposé certaines des catégories d'informations personnelles les plus sensibles qu'une entreprise puisse détenir : les informations de santé protégées (PHI). La violation s'est produite après que des acteurs malveillants ont obtenu un accès non autorisé à une plateforme tierce de support client utilisée par l'entreprise. Les données exposées comprenaient des informations contenues dans des tickets de support client, ce qui, dans un contexte de télémédecine, signifie des détails liés aux ordonnances, aux consultations médicales et aux problèmes de santé personnels.

Le groupe de pirates informatiques ShinyHunters a revendiqué la responsabilité de l'attaque. Ce groupe est bien connu dans les milieux de la cybersécurité pour ses opérations de vol de données à grande échelle et a été associé à plusieurs violations très médiatisées ces dernières années. Leur implication soulève immédiatement des inquiétudes quant au devenir des données volées, notamment la possibilité d'extorsion, de revente sur des marchés du dark web ou de campagnes d'hameçonnage ciblées contre les utilisateurs concernés.

Pourquoi les fournisseurs tiers constituent un maillon faible dans la sécurité des soins de santé

L'un des détails les plus importants de cette violation est l'endroit où elle s'est produite : non pas au sein de l'infrastructure principale de Hims, mais par l'intermédiaire d'une plateforme tierce de support client. Il s'agit d'un schéma qui est devenu de plus en plus courant et de plus en plus lourd de conséquences.

Les grandes entreprises externalisent régulièrement des fonctions telles que le support client, la facturation et le stockage de données auprès de prestataires spécialisés. Chacun de ces prestataires devient une extension de la surface d'attaque de l'entreprise. Lorsqu'un utilisateur s'inscrit à un service de télémédecine, il ne fait pas uniquement confiance à cette entreprise avec ses données. Il fait également confiance à chaque fournisseur, sous-traitant et prestataire de logiciels avec lesquels cette entreprise travaille.

Cela est particulièrement problématique dans le secteur de la santé. En vertu de la législation américaine, les entreprises qui traitent des PHI sont tenues de s'assurer que leurs partenaires commerciaux et fournisseurs respectent les normes de conformité HIPAA. Mais la conformité sur le papier ne se traduit pas toujours par une sécurité efficace dans la réalité. Une entreprise disposant de ressources importantes comme Hims peut investir massivement dans ses propres défenses tout en restant exposée par l'intermédiaire d'un fournisseur aux contrôles plus faibles.

La violation chez Hims n'est pas un cas isolé. Les entreprises de santé et de télémédecine sont devenues des cibles de choix précisément parce que les données qu'elles détiennent sont si précieuses. Les dossiers médicaux se négocient à des prix nettement plus élevés sur les marchés criminels que les numéros de carte bancaire, car ils contiennent des informations qui ne peuvent pas être facilement modifiées et peuvent être utilisées pour des fraudes à l'assurance, des usurpations d'identité et des opérations d'ingénierie sociale ciblées.

Ce que cela signifie pour vous

Si vous êtes client de Hims ou de Hims & Hers, vous devez supposer que les informations que vous avez partagées via les canaux de support client ont pu être exposées. Cela pourrait inclure votre nom, vos coordonnées, ainsi que des détails sur les consultations médicales ou les ordonnances dont vous avez discuté avec l'équipe de support.

Plus généralement, cette violation rappelle utilement les risques liés au stockage d'informations personnelles sensibles dans des systèmes centralisés. Les plateformes de télémédecine sont conçues autour de la commodité, et cette commodité implique souvent de consolider vos données de santé d'une manière qui crée des cibles attrayantes pour les attaquants. Plus une entreprise détient de données, et plus elle les partage avec des fournisseurs, plus le rayon de destruction potentiel est important en cas de problème.

Cela ne signifie pas que vous devriez éviter les services de télémédecine. Pour de nombreuses personnes, ils permettent d'accéder à des soins qui seraient autrement difficiles ou coûteux à obtenir. Mais cela signifie que vous devriez réfléchir attentivement aux informations que vous partagez sur toute plateforme de santé numérique, y compris via les tickets de support et les fonctions de chat, qui peuvent être stockés et traités en dehors des systèmes principaux de l'entreprise.

Mesures concrètes à prendre après une violation de données de santé

Si vous utilisez Hims & Hers ou une plateforme de télémédecine similaire, voici quelques mesures concrètes à prendre dès maintenant :

  • Surveillez les tentatives d'hameçonnage. Les attaquants qui obtiennent des données liées à la santé les utilisent souvent pour élaborer des messages d'hameçonnage très convaincants. Méfiez-vous de tout e-mail ou message non sollicité faisant référence à vos problèmes de santé, vos médicaments ou vos interactions précédentes avec la plateforme.
  • Vérifiez vos comptes. Examinez votre compte Hims et tous les moyens de paiement associés pour détecter toute activité inhabituelle. Signalez tout élément suspect à la fois à la plateforme et à votre établissement financier.
  • Soyez vigilant face à la fraude à l'identité. L'usurpation d'identité médicale, où quelqu'un utilise vos informations pour obtenir frauduleusement des ordonnances ou des prestations d'assurance, peut être difficile à détecter. Envisagez de placer une alerte à la fraude auprès des principaux bureaux de crédit et de surveiller vos relevés d'assurance pour détecter des prestations que vous n'avez pas reçues.
  • Limitez ce que vous partagez dans les tickets de support. À l'avenir, gardez à l'esprit que les canaux de support client de toute entreprise peuvent être gérés par des fournisseurs tiers avec leur propre niveau de sécurité. Évitez de partager plus de détails que strictement nécessaire.
  • Restez informé de la violation. Soyez attentif aux communications officielles de Hims concernant l'étendue de l'incident et toute mesure corrective qu'ils proposent, comme des services de surveillance du crédit.

Les violations de données dans les entreprises de santé ne vont pas disparaître. À mesure que davantage de services de santé se déplacent en ligne, la quantité de données médicales sensibles détenues par les plateformes numériques ne fera que croître. Être un utilisateur prudent et informé de ces services est l'une des défenses les plus efficaces à la portée des personnes ordinaires. Comprendre qui détient vos données, et ce qu'il en fait, est un point de départ raisonnable pour vous protéger.