Ki vállalta a felelősséget a Hims adatvédelmi incidensért?

A ShinyHunters nevű hackercsoport vállalta a felelősséget a támadásért. A csoport jól ismert a nagyszabású adatlopási műveletek miatt, és az elmúlt években számos nagy horderejű adatvédelmi incidenshez kapcsolták a nevét.

Milyen típusú adatok szivárogtak ki az incidensben?

Az incidens védett egészségügyi információkat (PHI) tett ki, beleértve az ügyfélszolgálati jegyekben szereplő adatokat, mint például a receptekhez, orvosi konzultációkhoz és személyes egészségügyi állapotokhoz kapcsolódó részletek.

Mit tegyenek a Hims ügyfelei az incidens nyomán?

A Hims és Hims & Hers ügyfeleinek feltételezniük kell, hogy az ügyfélszolgálati csatornákon megosztott információk esetleg kiszivárogtak, beleértve nevüket, elérhetőségeiket, valamint az orvosi konzultációkra vagy receptekre vonatkozó adatokat.

A Hims adatvédelmi incidens érzékeny egészségügyi nyilvántartásokat tett ki

Q: Hogyan szereztek hozzáférést a támadók a Hims ügyféladataihoz?

A fenyegető szereplők jogosulatlan hozzáférést szereztek a Hims által használt harmadik feles ügyfélszolgálati platformhoz, ahelyett hogy közvetlenül a vállalat alapinfrastruktúráját törték volna fel.

A Hims teleegészségügyi óriást adatvédelmi incidens érte, orvosi nyilvántartások szivárogtak ki

A Hims & Hers Health teleegészségügyi vállalat megerősítette, hogy adatvédelmi incidens történt, amely a vállalatok által kezelt legsérülékenyebb személyes adatkategóriákat tette ki: a védett egészségügyi információkat (PHI). Az incidens akkor következett be, amikor fenyegető szereplők jogosulatlan hozzáférést szereztek a vállalat által használt, harmadik feles ügyfélszolgálati platformhoz. A kiszivárgott adatok az ügyfélszolgálati jegyekben szereplő információkat tartalmazták, amelyek teleegészségügyi környezetben receptekhez, orvosi konzultációkhoz és személyes egészségügyi állapotokhoz kapcsolódó adatokat jelentenek.

A ShinyHunters nevű hackercsoport vállalta a felelősséget a támadásért. A csoport jól ismert a kiberbiztonsági körökben a nagyszabású adatlopási műveletek miatt, és az elmúlt években számos nagy horderejű adatvédelmi incidenshez kapcsolták a nevét. Részvételük azonnali aggodalmakat vet fel azzal kapcsolatban, hogy mi történik a lopott adatokkal, beleértve a zsarolás, a dark weben való értékesítés vagy az érintett felhasználók ellen irányuló célzott adathalász kampányok lehetőségét.

Miért jelentenek gyenge láncszemet a harmadik feles szállítók az egészségügyi adatbiztonságban?

Az incidens egyik legfontosabb részlete az, hogy hol történt: nem a Hims alapinfrastruktúrájában, hanem egy harmadik feles ügyfélszolgálati platformon keresztül. Ez egy olyan minta, amely egyre gyakoribbá és egyre jelentősebbé vált.

A nagyvállalatoknak szokásuk kiszervezni az olyan funkciókat, mint az ügyfélszolgálat, a számlázás és az adattárolás, speciális szállítókhoz. Minden egyes szállító a vállalat támadási felületének meghosszabbítását jelenti. Amikor egy felhasználó regisztrál egy teleegészségügyi szolgáltatásra, nem csupán az adott vállalatban bízik meg adataival. Megbízik minden olyan szállítóban, vállalkozóban és szoftverszolgáltatóban is, amellyel az adott vállalat együttműködik.

Ez különösen problematikus az egészségügyi ágazatban. Az amerikai jog szerint a PHI-t kezelő vállalatoknak biztosítaniuk kell, hogy üzleti partnereik és szállítóik megfeleljenek a HIPAA megfelelőségi szabványoknak. A papíron meglévő megfelelőség azonban nem mindig fordítható le hatékony valós biztonsággá. Egy jól finanszírozott vállalat, mint a Hims, sokat fektethet saját védelmébe, miközben egy gyengébb biztonsági intézkedésekkel rendelkező szállítón keresztül továbbra is sebezhetővé válhat.

A Hims-incidens nem egyedi eset. Az egészségügyi és teleegészségügyi vállalatok pontosan azért váltak elsőrendű célpontokká, mert az általuk kezelt adatok rendkívül értékesek. Az orvosi nyilvántartások lényegesen magasabb áron kelnek el a bűnözői piacokon, mint a bankkártyaszámok, mivel olyan információkat tartalmaznak, amelyeket nem lehet könnyen megváltoztatni, és amelyek felhasználhatók biztosítási csaláshoz, személyazonosság-lopáshoz és célzott social engineering támadásokhoz.

Mit jelent ez az Ön számára?

Ha Ön a Hims vagy a Hims & Hers ügyfele, feltételeznie kell, hogy az ügyfélszolgálati csatornákon megosztott információk esetleg kiszivárogtak. Ez magában foglalhatja az Ön nevét, elérhetőségét, valamint az ügyfélszolgálattal megbeszélt orvosi konzultációkra vagy receptekre vonatkozó adatokat.

Tágabb értelemben ez az incidens hasznos emlékeztetőül szolgál arra a kockázatra, amelyet az érzékeny személyes adatok központosított rendszerekben való tárolása jelent. A teleegészségügyi platformok a kényelemre épülnek, és ez a kényelem sokszor azt jelenti, hogy egészségügyi adatai összegyűjtésre kerülnek, vonzó célpontokat teremtve a támadók számára. Minél több adatot kezel egy vállalat, és minél több szállítóval osztja meg azokat, annál nagyobb a potenciális kár, ha valami rosszul sül el.

Ez nem azt jelenti, hogy kerülnie kell a teleegészségügyi szolgáltatásokat. Sokak számára ezek hozzáférést biztosítanak olyan ellátáshoz, amelyhez egyébként nehéz vagy drága lenne hozzájutni. Azonban azt igen jelenti, hogy alaposan meg kell fontolnia, milyen információkat oszt meg bármely digitális egészségügyi platformon, beleértve a támogatási jegyeket és csevegési funkciókat is, amelyek a vállalat elsődleges rendszerein kívül is tárolásra és feldolgozásra kerülhetnek.

Cselekvési lépések egészségügyi adatvédelmi incidens után

Ha Ön a Hims & Hers vagy egy hasonló teleegészségügyi platform felhasználója, íme néhány konkrét lépés, amelyet érdemes most azonnal megtenni:

Figyeljen az adathalász kísérletekre. Az egészségügyi adatokat megszerző támadók gyakran felhasználják azokat rendkívül meggyőző adathalász üzenetek megszerkesztéséhez. Legyen szkeptikus minden kéretlen e-maillel vagy üzenettel szemben, amely hivatkozik egészségügyi állapotára, gyógyszereire vagy a platformmal való korábbi interakcióira.
Ellenőrizze fiókjait. Tekintse át Hims-fiókját és az ahhoz kapcsolt fizetési módokat szokatlan tevékenységek szempontjából. Minden gyanús dolgot jelentsen mind a platformnak, mind pénzügyi intézményének.
Figyelje a személyazonosság-lopás jeleit. Az orvosi személyazonosság-lopás – amikor valaki az Ön adatait felhasználva próbál meg csalárd módon recepteket vagy biztosítási juttatásokat szerezni – nehezen észlelhető. Fontolja meg csalási figyelmeztetés elhelyezését a főbb hitelintézeteknél, és kövesse nyomon biztosítási kimutatásait az olyan szolgáltatások tekintetében, amelyeket Ön nem vett igénybe.
Korlátozza, amit a támogatási jegyekben megoszt. A jövőben vegye figyelembe, hogy bármely vállalatnál az ügyfélszolgálati csatornákat olyan harmadik feles szállítók kezelhetik, amelyeknek saját biztonsági szintjük van. Kerülje a feltétlenül szükségesnél több részlet megosztását.
Maradjon tájékozott az incidensről. Kövesse a Hims hivatalos közleményeit az incidens mértékéről és az általuk kínált helyreállítási lépésekről, például hitelfelügyeleti szolgáltatásokról.

Az egészségügyi vállalatoknál bekövetkező adatvédelmi incidensek nem szűnnek meg. Ahogy egyre több egészségügyi szolgáltatás kerül online, a digitális platformok által kezelt érzékeny orvosi adatok mennyisége csak növekedni fog. Ezen szolgáltatások körültekintő és tájékozott felhasználása az egyik leghatékonyabb védekezési eszköz, amely az átlagemberek rendelkezésére áll. Annak megértése, hogy ki kezeli az Ön adatait és mit tesz azokkal, ésszerű kiindulópontot jelent az önvédelemhez.

A Hims teleegészségügyi óriást adatvédelmi incidens érte, orvosi nyilvántartások szivárogtak ki

Miért jelentenek gyenge láncszemet a harmadik feles szállítók az egészségügyi adatbiztonságban?

Mit jelent ez az Ön számára?

Cselekvési lépések egészségügyi adatvédelmi incidens után

// GYIK

// Kapcsolódó