Hims dataintrång exponerar känsliga hälsouppgifter

Telehealth-jätten Hims drabbad av dataintrång som exponerar medicinska journaler

Telehealth-företaget Hims & Hers Health har bekräftat ett dataintrång som exponerade några av de känsligaste kategorierna av personlig information ett företag kan inneha: Skyddad hälsoinformation (PHI). Intrånget inträffade efter att hotaktörer fick obehörig åtkomst till en tredjepartsplattform för kundtjänst som används av företaget. Exponerade uppgifter inkluderade information i kundtjänstärenden, vilket i ett telehealth-sammanhang innebär detaljer kopplade till recept, medicinska konsultationer och personliga hälsotillstånd.

Hackergruppen ShinyHunters har tagit på sig ansvaret för attacken. Gruppen är välkänd inom cybersäkerhetskretsar för storskaliga datastöldoperationer och har kopplats till flera uppmärksammade intrång under de senaste åren. Deras inblandning väcker omedelbar oro kring vad som händer med den stulna datan härnäst, inklusive risken för utpressning, försäljning på mörka webbmarknader eller riktade nätfiskekampanjer mot drabbade användare.

Varför tredjepartsleverantörer är en svag länk i hälso- och sjukvårdens säkerhet

En av de viktigaste detaljerna i detta intrång är var det inträffade: inte i Hims kärninfrastruktur, utan via en tredjepartsplattform för kundtjänst. Detta är ett mönster som har blivit allt vanligare och allt mer betydelsefullt.

Stora företag lägger rutinmässigt ut funktioner som kundtjänst, fakturering och datalagring på specialiserade leverantörer. Var och en av dessa leverantörer blir en förlängning av företagets attackyta. När en användare registrerar sig för en telehealth-tjänst litar de inte bara på det företaget med sina uppgifter. De litar också på varje leverantör, underleverantör och mjukvaruleverantör som företaget samarbetar med.

Detta är särskilt problematiskt inom hälso- och sjukvården. Enligt amerikansk lagstiftning krävs det att företag som hanterar PHI säkerställer att deras affärspartners och leverantörer uppfyller HIPAA:s efterlevnadsstandarder. Men efterlevnad på papper innebär inte alltid effektiv säkerhet i praktiken. Ett välresurserat företag som Hims kan investera kraftigt i sina egna försvar och ändå förbli exponerat via en leverantör med svagare kontroller.

Hims-intrånget är inget isolerat fall. Hälso- och telehealth-företag har blivit primära mål just för att de uppgifter de innehar är så värdefulla. Medicinska journaler betingar betydligt högre priser på kriminella marknader än kreditkortsnummer, eftersom de innehåller information som inte enkelt kan ändras och kan användas för försäkringsbedrägeri, identitetsstöld och riktad social manipulation.

Vad detta innebär för dig

Om du är kund hos Hims eller Hims & Hers bör du utgå från att information du delat via kundtjänstkanaler kan ha exponerats. Detta kan inkludera ditt namn, kontaktuppgifter och detaljer om medicinska konsultationer eller recept som du diskuterat med supportteamet.

I ett vidare perspektiv är detta intrång en nyttig påminnelse om de risker som är förknippade med att lagra känslig personlig information i centraliserade system. Telehealth-plattformar är byggda kring bekvämlighet, och den bekvämligheten innebär ofta att din hälsodata konsolideras på sätt som skapar attraktiva mål för angripare. Ju mer data ett företag innehar, och ju fler leverantörer det delar den datan med, desto större är den potentiella skadan när något går fel.

Detta betyder inte att du bör undvika telehealth-tjänster. För många människor ger de tillgång till vård som annars skulle vara svår eller kostsam att få. Men det betyder att du bör tänka noga på vilken information du delar via digitala hälsoplattformar, inklusive via supportärenden och chattfunktioner, som kan lagras och behandlas utanför företagets primära system.

Konkreta åtgärder efter ett hälsodataintrång

Om du använder Hims & Hers eller en liknande telehealth-plattform finns det några konkreta steg som är värda att ta just nu:

• Var uppmärksam på nätfiskeförsök. Angripare som får tag på hälsorelaterade uppgifter använder dem ofta för att skapa mycket övertygande nätfiskemeddelanden. Var skeptisk till oönskade e-postmeddelanden eller meddelanden som refererar till dina hälsotillstånd, mediciner eller tidigare interaktioner med plattformen.
• Kontrollera dina konton. Granska ditt Hims-konto och eventuella länkade betalningsmetoder för ovanlig aktivitet. Rapportera allt misstänkt till både plattformen och din finansiella institution.
• Håll utkik efter identitetsbedrägeri. Medicinsk identitetsstöld, där någon använder dina uppgifter för att på bedrägligt sätt skaffa recept eller försäkringsförmåner, kan vara svår att upptäcka. Överväg att lägga en bedrägerivarning hos de stora kreditupplysningsföretagen och bevaka dina försäkringsutdrag för tjänster du inte tagit emot.
• Begränsa vad du delar i supportärenden. Var framöver medveten om att kundtjänstkanaler hos vilket företag som helst kan hanteras av tredjepartsleverantörer med sin egen säkerhetsnivå. Undvik att dela mer detaljer än vad som är absolut nödvändigt.
• Håll dig informerad om intrånget. Bevaka officiell kommunikation från Hims om incidentens omfattning och eventuella åtgärder de erbjuder, såsom kreditövervakningstjänster.

Dataintrång hos hälso- och sjukvårdsföretag kommer inte att försvinna. I takt med att fler hälsotjänster flyttar online kommer mängden känslig medicinsk data som digitala plattformar innehar bara att växa. Att vara en försiktig och välinformerad användare av dessa tjänster är ett av de mest effektiva försvar som vanliga människor har tillgång till. Att förstå vem som innehar dina uppgifter, och vad de gör med dem, är en rimlig utgångspunkt för att skydda dig själv.