Quem reivindicou a responsabilidade pela violação de dados da Hims?

O grupo de hackers ShinyHunters reivindicou a responsabilidade pelo ataque. O grupo é amplamente conhecido por operações de roubo de dados em larga escala e foi associado a diversas violações de alto perfil nos últimos anos.

Que tipo de dados foi exposto na violação?

A violação expôs Informações de Saúde Protegidas (PHI), incluindo dados contidos em tickets de suporte ao cliente, como detalhes relacionados a prescrições, consultas médicas e condições de saúde pessoais.

Violação de Dados da Hims Expõe Registros Médicos Sensíveis

Q: Como os invasores obtiveram acesso aos dados dos clientes da Hims?

Agentes mal-intencionados obtiveram acesso não autorizado a uma plataforma terceirizada de suporte ao cliente utilizada pela Hims, em vez de violar diretamente a infraestrutura central da empresa.

Q: Por que os registros médicos são considerados especialmente valiosos para os cibercriminosos?

Os registros médicos alcançam preços significativamente mais altos em mercados criminosos do que números de cartões de crédito, pois contêm informações que não podem ser facilmente alteradas e podem ser usadas para fraudes de seguro, roubo de identidade e engenharia social direcionada.

Q: O que os clientes da Hims devem fazer em resposta a essa violação?

Os clientes da Hims e da Hims & Hers devem presumir que as informações compartilhadas por meio dos canais de suporte ao cliente podem ter sido expostas, incluindo seu nome, dados de contato e detalhes sobre consultas médicas ou prescrições.

Gigante da Telessaúde Hims Sofre Violação de Dados com Exposição de Registros Médicos

A empresa de telessaúde Hims & Hers Health confirmou uma violação de dados que expôs algumas das categorias mais sensíveis de informações pessoais que uma empresa pode deter: Informações de Saúde Protegidas (PHI). A violação ocorreu após agentes mal-intencionados obterem acesso não autorizado a uma plataforma terceirizada de suporte ao cliente utilizada pela empresa. Os dados expostos incluíam informações contidas em tickets de suporte ao cliente, que, no contexto da telessaúde, envolvem detalhes relacionados a prescrições, consultas médicas e condições de saúde pessoais.

O grupo de hackers ShinyHunters reivindicou a responsabilidade pelo ataque. O grupo é amplamente conhecido nos círculos de cibersegurança por operações de roubo de dados em larga escala e foi associado a diversas violações de alto perfil nos últimos anos. O envolvimento do grupo levanta preocupações imediatas sobre o destino dos dados roubados, incluindo o potencial para extorsão, revenda em mercados da dark web ou campanhas de phishing direcionadas aos usuários afetados.

Por Que Fornecedores Terceirizados São um Elo Fraco na Segurança da Saúde

Um dos detalhes mais importantes nessa violação é o local onde ela ocorreu: não dentro da infraestrutura central da Hims, mas por meio de uma plataforma terceirizada de suporte ao cliente. Esse é um padrão que tem se tornado cada vez mais comum e cada vez mais significativo.

Grandes empresas costumam terceirizar funções como suporte ao cliente, faturamento e armazenamento de dados para fornecedores especializados. Cada um desses fornecedores passa a ser uma extensão da superfície de ataque da empresa. Quando um usuário se cadastra em um serviço de telessaúde, ele não está apenas confiando seus dados àquela empresa. Ele também está confiando em cada fornecedor, prestador de serviços e provedor de software com quem essa empresa trabalha.

Isso é particularmente problemático na área da saúde. De acordo com a legislação americana, as empresas que lidam com PHI são obrigadas a garantir que seus parceiros de negócios e fornecedores atendam aos padrões de conformidade da HIPAA. No entanto, a conformidade no papel nem sempre se traduz em segurança eficaz no mundo real. Uma empresa com recursos sólidos como a Hims pode investir pesadamente em suas próprias defesas e, ainda assim, permanecer vulnerável por meio de um fornecedor com controles mais frágeis.

A violação da Hims não é um caso isolado. Empresas de saúde e telessaúde tornaram-se alvos preferenciais justamente porque os dados que detêm são extremamente valiosos. Registros médicos alcançam preços significativamente mais altos em mercados criminosos do que números de cartões de crédito, pois contêm informações que não podem ser facilmente alteradas e podem ser usadas para fraudes de seguro, roubo de identidade e engenharia social direcionada.

O Que Isso Significa Para Você

Se você é cliente da Hims ou da Hims & Hers, deve presumir que as informações compartilhadas por meio dos canais de suporte ao cliente podem ter sido expostas. Isso pode incluir seu nome, dados de contato e detalhes sobre consultas médicas ou prescrições que você discutiu com a equipe de suporte.

De forma mais ampla, essa violação serve como um lembrete útil dos riscos que acompanham o armazenamento de informações pessoais sensíveis em sistemas centralizados. As plataformas de telessaúde são construídas em torno da conveniência, e essa conveniência frequentemente implica a consolidação de seus dados de saúde de maneiras que criam alvos atrativos para invasores. Quanto mais dados uma empresa detém, e quanto mais fornecedores compartilham esses dados, maior é o raio de impacto potencial quando algo dá errado.

Isso não significa que você deva evitar serviços de telessaúde. Para muitas pessoas, eles oferecem acesso a cuidados que, de outra forma, seriam difíceis ou caros de obter. No entanto, significa que você deve refletir cuidadosamente sobre quais informações compartilha em qualquer plataforma digital de saúde, incluindo tickets de suporte e funções de chat, que podem ser armazenados e processados fora dos sistemas primários da empresa.

Medidas Práticas Após uma Violação de Dados de Saúde

Se você utiliza a Hims & Hers ou uma plataforma de telessaúde similar, aqui estão algumas medidas concretas que vale a pena tomar agora:

Fique atento a tentativas de phishing. Invasores que obtêm dados relacionados à saúde frequentemente os utilizam para criar mensagens de phishing altamente convincentes. Desconfie de qualquer e-mail ou mensagem não solicitada que faça referência às suas condições de saúde, medicamentos ou interações anteriores com a plataforma.
Verifique suas contas. Revise sua conta na Hims e quaisquer métodos de pagamento vinculados em busca de atividades incomuns. Reporte qualquer atividade suspeita tanto à plataforma quanto à sua instituição financeira.
Fique alerta para fraudes de identidade. O roubo de identidade médica, em que alguém usa suas informações para obter prescrições ou benefícios de seguro de forma fraudulenta, pode ser difícil de detectar. Considere registrar um alerta de fraude junto aos principais bureaus de crédito e monitore seus extratos de seguro em busca de serviços que você não recebeu.
Limite o que você compartilha em tickets de suporte. Daqui em diante, tenha em mente que os canais de suporte ao cliente de qualquer empresa podem ser gerenciados por fornecedores terceirizados com sua própria postura de segurança. Evite compartilhar mais detalhes do que o estritamente necessário.
Mantenha-se informado sobre a violação. Acompanhe as comunicações oficiais da Hims sobre o alcance do incidente e quaisquer medidas de remediação oferecidas, como serviços de monitoramento de crédito.

As violações de dados em empresas de saúde não vão desaparecer. À medida que mais serviços de saúde migram para o ambiente digital, a quantidade de dados médicos sensíveis mantida por plataformas digitais só tende a crescer. Ser um usuário cuidadoso e bem informado desses serviços é uma das defesas mais eficazes disponíveis para as pessoas comuns. Entender quem detém seus dados e o que fazem com eles é um ponto de partida razoável para se proteger.

Gigante da Telessaúde Hims Sofre Violação de Dados com Exposição de Registros Médicos

Por Que Fornecedores Terceirizados São um Elo Fraco na Segurança da Saúde

O Que Isso Significa Para Você

Medidas Práticas Após uma Violação de Dados de Saúde

// FAQ

// Relacionados