Siapa yang mengklaim bertanggung jawab atas pelanggaran data Hims?

Kelompok peretas ShinyHunters mengklaim bertanggung jawab atas serangan tersebut. Kelompok ini dikenal luas atas operasi pencurian data berskala besar dan telah dikaitkan dengan beberapa pelanggaran profil tinggi dalam beberapa tahun terakhir.

Jenis data apa yang terekspos dalam pelanggaran tersebut?

Pelanggaran tersebut mengekspos Informasi Kesehatan yang Dilindungi (PHI), termasuk data yang terdapat dalam tiket dukungan pelanggan seperti detail yang terkait dengan resep obat, konsultasi medis, dan kondisi kesehatan pribadi.

Bagaimana para penyerang mendapatkan akses ke data pelanggan Hims?

Pelaku ancaman mendapatkan akses tidak sah ke platform dukungan pelanggan pihak ketiga yang digunakan oleh Hims, bukan dengan membobol infrastruktur inti perusahaan secara langsung.

Pelanggaran Data Hims Mengekspos Rekam Kesehatan Sensitif

Q: Apa yang harus dilakukan pelanggan Hims sebagai respons atas pelanggaran ini?

Pelanggan Hims dan Hims & Hers harus mengasumsikan bahwa informasi yang dibagikan melalui saluran dukungan pelanggan mungkin telah terekspos, termasuk nama, detail kontak, serta detail tentang konsultasi medis atau resep obat mereka.

Raksasa Telehealth Hims Terkena Pelanggaran Data yang Mengekspos Rekam Medis

Perusahaan telehealth Hims & Hers Health telah mengonfirmasi pelanggaran data yang mengekspos beberapa kategori informasi pribadi paling sensitif yang dapat dimiliki sebuah perusahaan: Informasi Kesehatan yang Dilindungi (PHI). Pelanggaran tersebut terjadi setelah pelaku ancaman mendapatkan akses tidak sah ke platform dukungan pelanggan pihak ketiga yang digunakan oleh perusahaan. Data yang terekspos mencakup informasi yang terdapat dalam tiket dukungan pelanggan, yang dalam konteks telehealth berarti detail yang terkait dengan resep obat, konsultasi medis, dan kondisi kesehatan pribadi.

Kelompok peretas ShinyHunters telah mengklaim bertanggung jawab atas serangan tersebut. Kelompok ini dikenal luas di kalangan keamanan siber atas operasi pencurian data berskala besar dan telah dikaitkan dengan beberapa pelanggaran profil tinggi dalam beberapa tahun terakhir. Keterlibatan mereka langsung menimbulkan kekhawatiran tentang apa yang terjadi pada data yang dicuri selanjutnya, termasuk potensi pemerasan, penjualan kembali di pasar dark web, atau kampanye phishing yang ditargetkan terhadap pengguna yang terdampak.

Mengapa Vendor Pihak Ketiga Menjadi Titik Lemah dalam Keamanan Layanan Kesehatan

Salah satu detail terpenting dalam pelanggaran ini adalah di mana hal itu terjadi: bukan di dalam infrastruktur inti Hims, melainkan melalui platform dukungan pelanggan pihak ketiga. Ini adalah pola yang semakin umum terjadi dan semakin berdampak besar.

Perusahaan-perusahaan besar secara rutin mengalihdayakan fungsi-fungsi seperti dukungan pelanggan, penagihan, dan penyimpanan data kepada vendor-vendor spesialis. Setiap vendor tersebut menjadi perpanjangan dari permukaan serangan perusahaan. Ketika seorang pengguna mendaftar ke layanan telehealth, mereka tidak hanya mempercayakan data mereka kepada perusahaan tersebut. Mereka juga mempercayai setiap vendor, kontraktor, dan penyedia perangkat lunak yang bekerja sama dengan perusahaan itu.

Hal ini sangat bermasalah dalam layanan kesehatan. Berdasarkan hukum AS, perusahaan yang menangani PHI diwajibkan untuk memastikan mitra bisnis dan vendor mereka memenuhi standar kepatuhan HIPAA. Namun kepatuhan di atas kertas tidak selalu diterjemahkan menjadi keamanan yang efektif di dunia nyata. Sebuah perusahaan dengan sumber daya besar seperti Hims dapat berinvestasi besar-besaran dalam pertahanannya sendiri, namun tetap rentan melalui vendor dengan kontrol yang lebih lemah.

Pelanggaran Hims bukanlah kasus yang terisolasi. Perusahaan layanan kesehatan dan telehealth telah menjadi target utama justru karena data yang mereka miliki sangat bernilai. Rekam medis memiliki harga yang jauh lebih tinggi di pasar kriminal dibandingkan nomor kartu kredit, karena rekam medis berisi informasi yang tidak dapat dengan mudah diubah dan dapat digunakan untuk penipuan asuransi, pencurian identitas, dan rekayasa sosial yang ditargetkan.

Apa Artinya Ini Bagi Anda

Jika Anda adalah pelanggan Hims atau Hims & Hers, Anda harus mengasumsikan bahwa informasi yang Anda bagikan melalui saluran dukungan pelanggan mungkin telah terekspos. Ini bisa mencakup nama, detail kontak, serta detail tentang konsultasi medis atau resep obat yang pernah Anda diskusikan dengan tim dukungan.

Secara lebih luas, pelanggaran ini merupakan pengingat yang berguna tentang risiko yang datang dari penyimpanan informasi pribadi sensitif dalam sistem terpusat. Platform telehealth dibangun di atas kenyamanan, dan kenyamanan itu sering kali berarti mengkonsolidasikan data kesehatan Anda dengan cara yang menciptakan target menarik bagi para penyerang. Semakin banyak data yang dimiliki sebuah perusahaan, dan semakin banyak vendor yang berbagi data tersebut, semakin besar potensi dampak kerusakan ketika sesuatu berjalan salah.

Ini bukan berarti Anda harus menghindari layanan telehealth. Bagi banyak orang, layanan tersebut memberikan akses ke perawatan yang sebaliknya sulit atau mahal untuk diperoleh. Namun ini berarti Anda harus berpikir matang tentang informasi apa yang Anda bagikan melalui platform kesehatan digital mana pun, termasuk melalui tiket dukungan dan fungsi obrolan, yang mungkin disimpan dan diproses di luar sistem utama perusahaan.

Langkah-Langkah Nyata Setelah Pelanggaran Data Kesehatan

Jika Anda menggunakan Hims & Hers atau platform telehealth serupa, berikut adalah beberapa langkah konkret yang layak diambil sekarang:

Pantau upaya phishing. Penyerang yang mendapatkan data terkait kesehatan sering menggunakannya untuk membuat pesan phishing yang sangat meyakinkan. Bersikaplah skeptis terhadap email atau pesan tidak diminta yang merujuk pada kondisi kesehatan, obat-obatan, atau interaksi sebelumnya dengan platform.
Periksa akun Anda. Tinjau akun Hims Anda dan metode pembayaran yang terhubung untuk aktivitas yang tidak biasa. Laporkan segala sesuatu yang mencurigakan kepada platform maupun lembaga keuangan Anda.
Waspadai penipuan identitas. Pencurian identitas medis, di mana seseorang menggunakan informasi Anda untuk mendapatkan resep obat atau manfaat asuransi secara curang, bisa sulit dideteksi. Pertimbangkan untuk memasang peringatan penipuan di biro kredit utama dan pantau laporan asuransi Anda untuk layanan yang tidak pernah Anda terima.
Batasi apa yang Anda bagikan dalam tiket dukungan. Ke depannya, sadari bahwa saluran dukungan pelanggan di perusahaan mana pun mungkin ditangani oleh vendor pihak ketiga dengan postur keamanan mereka sendiri. Hindari berbagi detail lebih dari yang benar-benar diperlukan.
Tetap terinformasi tentang pelanggaran ini. Perhatikan komunikasi resmi dari Hims mengenai ruang lingkup insiden dan langkah-langkah pemulihan yang mereka tawarkan, seperti layanan pemantauan kredit.

Pelanggaran data di perusahaan layanan kesehatan tidak akan berhenti. Seiring semakin banyak layanan kesehatan yang beralih ke online, jumlah data medis sensitif yang dimiliki oleh platform digital hanya akan terus bertambah. Menjadi pengguna yang berhati-hati dan terinformasi dari layanan-layanan ini adalah salah satu pertahanan paling efektif yang tersedia bagi orang-orang biasa. Memahami siapa yang memegang data Anda, dan apa yang mereka lakukan dengannya, adalah titik awal yang masuk akal untuk melindungi diri Anda sendiri.

Raksasa Telehealth Hims Terkena Pelanggaran Data yang Mengekspos Rekam Medis

Mengapa Vendor Pihak Ketiga Menjadi Titik Lemah dalam Keamanan Layanan Kesehatan

Apa Artinya Ini Bagi Anda

Langkah-Langkah Nyata Setelah Pelanggaran Data Kesehatan

// FAQ

// Terkait