Kto przypisał sobie odpowiedzialność za naruszenie danych Hims?

Odpowiedzialność za atak przypisała sobie grupa hakerska ShinyHunters. Grupa ta jest dobrze znana z operacji kradzieży danych na dużą skalę i była powiązana z kilkoma głośnymi naruszeniami w ostatnich latach.

Jakiego rodzaju dane zostały ujawnione w wyniku naruszenia?

Naruszenie ujawniło Chronione Informacje Zdrowotne (PHI), w tym dane zawarte w zgłoszeniach do obsługi klienta, takie jak szczegóły dotyczące recept, konsultacji lekarskich oraz osobistego stanu zdrowia.

W jaki sposób napastnicy uzyskali dostęp do danych klientów Hims?

Cyberprzestępcy uzyskali nieuprawniony dostęp do zewnętrznej platformy obsługi klienta wykorzystywanej przez Hims, zamiast bezpośrednio włamać się do głównej infrastruktury firmy.

Co powinni zrobić klienci Hims w odpowiedzi na to naruszenie?

Klienci Hims i Hims & Hers powinni przyjąć, że informacje udostępniane za pośrednictwem kanałów obsługi klienta mogły zostać ujawnione, w tym ich imię i nazwisko, dane kontaktowe oraz szczegóły dotyczące konsultacji lekarskich lub recept.

Naruszenie danych Hims ujawnia wrażliwe dokumentację medyczną

Gigant telemedyczny Hims dotknięty naruszeniem danych ujawniającym dokumentację medyczną

Firma telemedyczna Hims & Hers Health potwierdziła naruszenie danych, które ujawniło niektóre z najbardziej wrażliwych kategorii informacji osobowych, jakie może przechowywać firma: Chronione Informacje Zdrowotne (PHI). Do naruszenia doszło po tym, jak cyberprzestępcy uzyskali nieuprawniony dostęp do zewnętrznej platformy obsługi klienta wykorzystywanej przez spółkę. Ujawnione dane obejmowały informacje zawarte w zgłoszeniach do obsługi klienta, co w kontekście telemedycyny oznacza szczegóły dotyczące recept, konsultacji lekarskich oraz osobistego stanu zdrowia.

Odpowiedzialność za atak przypisała sobie grupa hakerska ShinyHunters. Grupa ta jest dobrze znana w środowiskach zajmujących się cyberbezpieczeństwem z operacji kradzieży danych na dużą skalę i była powiązana z kilkoma głośnymi naruszeniami w ostatnich latach. Jej zaangażowanie natychmiast rodzi pytania o to, co stanie się z wykradzionymi danymi — w tym o możliwość wymuszeń, odsprzedaży na czarnym rynku lub ukierunkowanych kampanii phishingowych wymierzonych w poszkodowanych użytkowników.

Dlaczego zewnętrzni dostawcy są słabym ogniwem w bezpieczeństwie ochrony zdrowia

Jednym z najważniejszych szczegółów tego naruszenia jest miejsce jego wystąpienia: nie wewnątrz głównej infrastruktury Hims, lecz za pośrednictwem zewnętrznej platformy obsługi klienta. Jest to wzorzec, który staje się coraz bardziej powszechny i coraz bardziej brzemenny w skutki.

Duże firmy rutynowo zlecają na zewnątrz takie funkcje jak obsługa klienta, rozliczenia czy przechowywanie danych wyspecjalizowanym dostawcom. Każdy z tych dostawców staje się rozszerzeniem powierzchni ataku danej firmy. Gdy użytkownik rejestruje się w serwisie telemedycznym, nie powierza swoich danych wyłącznie tej firmie — ufa również każdemu dostawcy, podwykonawcy i producentowi oprogramowania, z którym ta firma współpracuje.

Jest to szczególnie problematyczne w obszarze ochrony zdrowia. Zgodnie z prawem amerykańskim firmy przetwarzające Chronione Informacje Zdrowotne są zobowiązane do zapewnienia, że ich partnerzy biznesowi i dostawcy spełniają standardy zgodności z HIPAA. Jednak zgodność na papierze nie zawsze przekłada się na skuteczne bezpieczeństwo w praktyce. Dobrze zasobna firma, taka jak Hims, może znacząco inwestować we własne zabezpieczenia, pozostając jednocześnie narażoną przez dostawcę o słabszych mechanizmach kontroli.

Naruszenie danych Hims nie jest przypadkiem odosobnionym. Firmy medyczne i telemedyczne stały się głównymi celami ataków właśnie dlatego, że przechowywane przez nie dane są tak cenne. Dokumentacja medyczna osiąga znacznie wyższe ceny na rynkach przestępczych niż numery kart kredytowych, ponieważ zawiera informacje, których nie można łatwo zmienić i które mogą być wykorzystywane do oszustw ubezpieczeniowych, kradzieży tożsamości oraz ukierunkowanej inżynierii społecznej.

Co to oznacza dla Ciebie

Jeśli jesteś klientem Hims lub Hims & Hers, powinieneś przyjąć, że informacje, które udostępniałeś za pośrednictwem kanałów obsługi klienta, mogły zostać ujawnione. Mogą one obejmować Twoje imię i nazwisko, dane kontaktowe oraz szczegóły dotyczące konsultacji lekarskich lub recept omawianych z zespołem wsparcia.

W szerszym kontekście naruszenie to stanowi użyteczne przypomnienie o ryzykach związanych z przechowywaniem wrażliwych danych osobowych w scentralizowanych systemach. Platformy telemedyczne są zbudowane wokół wygody, a ta wygoda często oznacza konsolidację danych zdrowotnych w sposób, który tworzy atrakcyjne cele dla napastników. Im więcej danych posiada firma i im większą liczbą dostawców się nimi dzieli, tym większy jest potencjalny zasięg szkód, gdy coś pójdzie nie tak.

Nie oznacza to, że należy unikać usług telemedycznych. Dla wielu osób zapewniają one dostęp do opieki zdrowotnej, która w innym przypadku byłaby trudna lub kosztowna do uzyskania. Oznacza to jednak, że warto dokładnie przemyśleć, jakie informacje udostępniasz za pośrednictwem jakiejkolwiek cyfrowej platformy zdrowotnej — w tym poprzez zgłoszenia do obsługi klienta i funkcje czatu, które mogą być przechowywane i przetwarzane poza głównymi systemami firmy.

Konkretne kroki po naruszeniu danych medycznych

Jeśli korzystasz z Hims & Hers lub podobnej platformy telemedycznej, oto kilka konkretnych działań, które warto podjąć już teraz:

Uważaj na próby phishingu. Napastnicy, którzy wchodzą w posiadanie danych dotyczących zdrowia, często wykorzystują je do tworzenia niezwykle przekonujących wiadomości phishingowych. Podchodź sceptycznie do wszelkich niezamówionych e-maili lub wiadomości, które odnoszą się do Twojego stanu zdrowia, przyjmowanych leków lub poprzednich kontaktów z platformą.
Sprawdź swoje konta. Przejrzyj swoje konto Hims oraz wszelkie powiązane metody płatności pod kątem podejrzanej aktywności. Zgłoś wszystko, co wzbudza Twoje podejrzenia, zarówno do platformy, jak i do swojej instytucji finansowej.
Obserwuj oznaki oszustwa tożsamościowego. Kradzież tożsamości medycznej — polegająca na wykorzystaniu Twoich danych do nielegalnego uzyskania recept lub świadczeń ubezpieczeniowych — może być trudna do wykrycia. Rozważ umieszczenie alertu o oszustwie w głównych biurach kredytowych i monitoruj wyciągi ubezpieczeniowe pod kątem usług, z których nie korzystałeś.
Ogranicz informacje udostępniane w zgłoszeniach do obsługi klienta. W przyszłości pamiętaj, że kanały obsługi klienta w każdej firmie mogą być obsługiwane przez zewnętrznych dostawców mających własny poziom zabezpieczeń. Unikaj podawania większej ilości szczegółów, niż jest to absolutnie konieczne.
Śledź informacje na temat naruszenia. Obserwuj oficjalne komunikaty Hims dotyczące zakresu incydentu oraz ewentualnych kroków naprawczych, takich jak usługi monitorowania zdolności kredytowej.

Naruszenia danych w firmach zajmujących się ochroną zdrowia nie znikną. W miarę jak coraz więcej usług zdrowotnych przenosi się do sieci, ilość wrażliwych danych medycznych przechowywanych przez platformy cyfrowe będzie tylko rosnąć. Bycie ostrożnym i świadomym użytkownikiem tych usług jest jedną z najskuteczniejszych dostępnych form obrony dla zwykłych ludzi. Zrozumienie, kto przechowuje Twoje dane i co z nimi robi, jest rozsądnym punktem wyjścia do ochrony siebie.

Gigant telemedyczny Hims dotknięty naruszeniem danych ujawniającym dokumentację medyczną

Dlaczego zewnętrzni dostawcy są słabym ogniwem w bezpieczeństwie ochrony zdrowia

Co to oznacza dla Ciebie

Konkretne kroki po naruszeniu danych medycznych

// FAQ

// Powiązane