ยักษ์ใหญ่ด้านสุขภาพทางไกล Hims ถูกละเมิดข้อมูล เปิดเผยบันทึกทางการแพทย์
บริษัท Hims & Hers Health ผู้ให้บริการด้านสุขภาพทางไกล ได้ยืนยันการละเมิดข้อมูลที่เปิดเผยข้อมูลส่วนบุคคลประเภทที่ละเอียดอ่อนที่สุดประเภทหนึ่งที่บริษัทสามารถครอบครองได้ นั่นคือ ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) การละเมิดดังกล่าวเกิดขึ้นหลังจากที่ผู้ไม่หวังดีได้เข้าถึงแพลตฟอร์มสนับสนุนลูกค้าของบุคคลที่สามที่บริษัทใช้งานอยู่โดยไม่ได้รับอนุญาต ข้อมูลที่ถูกเปิดเผยประกอบด้วยข้อมูลที่บรรจุอยู่ในตั๋วการสนับสนุนลูกค้า ซึ่งในบริบทของบริการสุขภาพทางไกลนั้นหมายถึงรายละเอียดที่เกี่ยวข้องกับใบสั่งยา การปรึกษาทางการแพทย์ และสภาวะสุขภาพส่วนบุคคล
กลุ่มแฮกเกอร์ ShinyHunters ได้อ้างความรับผิดชอบต่อการโจมตีครั้งนี้ กลุ่มดังกล่าวเป็นที่รู้จักกันดีในวงการความปลอดภัยทางไซเบอร์จากปฏิบัติการขโมยข้อมูลขนาดใหญ่ และมีความเชื่อมโยงกับการละเมิดข้อมูลระดับสูงหลายครั้งในช่วงไม่กี่ปีที่ผ่านมา การมีส่วนร่วมของกลุ่มนี้ก่อให้เกิดความกังวลทันทีเกี่ยวกับสิ่งที่จะเกิดขึ้นกับข้อมูลที่ถูกขโมยต่อไป ไม่ว่าจะเป็นการขู่กรรโชก การนำไปขายต่อในตลาดดาร์กเว็บ หรือการส่งอีเมลฟิชชิงแบบเจาะจงเป้าหมายไปยังผู้ใช้ที่ได้รับผลกระทบ
เหตุใดผู้ให้บริการบุคคลที่สามจึงเป็นจุดอ่อนของความปลอดภัยในระบบสุขภาพ
หนึ่งในรายละเอียดที่สำคัญที่สุดในการละเมิดครั้งนี้คือ สถานที่เกิดเหตุ ซึ่งไม่ใช่ภายในโครงสร้างพื้นฐานหลักของ Hims แต่เกิดขึ้นผ่านแพลตฟอร์มสนับสนุนลูกค้าของบุคคลที่สาม รูปแบบนี้กลายเป็นสิ่งที่พบเห็นได้บ่อยขึ้นเรื่อยๆ และมีผลกระทบที่รุนแรงมากขึ้นเรื่อยๆ เช่นกัน
บริษัทขนาดใหญ่มักจะจ้างผู้ให้บริการภายนอกสำหรับงานต่างๆ เช่น การสนับสนุนลูกค้า การเรียกเก็บเงิน และการจัดเก็บข้อมูลให้กับผู้ให้บริการเฉพาะทาง ผู้ให้บริการแต่ละรายเหล่านั้นกลายเป็นส่วนขยายของพื้นที่โจมตีของบริษัท เมื่อผู้ใช้สมัครใช้บริการสุขภาพทางไกล พวกเขาไม่ได้เพียงแค่มอบความไว้วางใจให้กับบริษัทนั้นในการดูแลข้อมูลของตน แต่ยังมอบความไว้วางใจให้กับผู้ให้บริการ ผู้รับเหมา และผู้ให้บริการซอฟต์แวร์ทุกรายที่บริษัทนั้นทำงานด้วยอีกด้วย
สิ่งนี้เป็นปัญหาอย่างยิ่งในระบบสุขภาพ ภายใต้กฎหมายสหรัฐอเมริกา บริษัทที่จัดการข้อมูล PHI จำเป็นต้องตรวจสอบให้แน่ใจว่าพันธมิตรทางธุรกิจและผู้ให้บริการของตนปฏิบัติตามมาตรฐาน HIPAA แต่การปฏิบัติตามข้อกำหนดบนกระดาษไม่ได้หมายความว่าจะมีความปลอดภัยที่มีประสิทธิภาพในโลกแห่งความเป็นจริงเสมอไป บริษัทที่มีทรัพยากรเพียงพออย่าง Hims สามารถลงทุนอย่างหนักในการป้องกันของตนเอง ในขณะที่ยังคงเสี่ยงต่อการถูกโจมตีผ่านผู้ให้บริการที่มีการควบคุมความปลอดภัยที่อ่อนแอกว่า
การละเมิดข้อมูลของ Hims ไม่ใช่กรณีที่โดดเดี่ยว บริษัทด้านสุขภาพและสุขภาพทางไกลกลายเป็นเป้าหมายหลักของการโจมตีอย่างแม่นยำเพราะข้อมูลที่พวกเขาถือครองมีคุณค่าอย่างมาก บันทึกทางการแพทย์มีราคาสูงกว่าหมายเลขบัตรเครดิตในตลาดอาชญากรรมอย่างมีนัยสำคัญ เนื่องจากบันทึกเหล่านี้ประกอบด้วยข้อมูลที่ไม่สามารถเปลี่ยนแปลงได้ง่าย และสามารถนำไปใช้เพื่อการฉ้อโกงประกัน การขโมยข้อมูลส่วนตัว และการหลอกลวงแบบวิศวกรรมสังคมที่เจาะจงเป้าหมาย
สิ่งที่คุณควรรู้
หากคุณเป็นลูกค้าของ Hims หรือ Hims & Hers คุณควรสันนิษฐานว่าข้อมูลที่คุณแบ่งปันผ่านช่องทางสนับสนุนลูกค้าอาจถูกเปิดเผย ซึ่งอาจรวมถึงชื่อ ข้อมูลติดต่อ และรายละเอียดเกี่ยวกับการปรึกษาทางการแพทย์หรือใบสั่งยาที่คุณเคยพูดคุยกับทีมสนับสนุน
ในภาพรวมที่กว้างขึ้น การละเมิดครั้งนี้เป็นการเตือนให้ระลึกถึงความเสี่ยงที่มาพร้อมกับการจัดเก็บข้อมูลส่วนบุคคลที่ละเอียดอ่อนในระบบรวมศูนย์ แพลตฟอร์มสุขภาพทางไกลถูกสร้างขึ้นโดยมุ่งเน้นความสะดวกสบาย และความสะดวกสบายนั้นมักหมายถึงการรวบรวมข้อมูลสุขภาพของคุณในลักษณะที่สร้างเป้าหมายที่น่าดึงดูดสำหรับผู้โจมตี ยิ่งบริษัทถือครองข้อมูลมากเท่าใด และยิ่งแบ่งปันข้อมูลนั้นกับผู้ให้บริการมากเท่าใด ขอบเขตความเสียหายที่อาจเกิดขึ้นเมื่อสิ่งต่างๆ ผิดพลาดก็ยิ่งกว้างขึ้นเท่านั้น
สิ่งนี้ไม่ได้หมายความว่าคุณควรหลีกเลี่ยงบริการสุขภาพทางไกล สำหรับหลายๆ คน บริการเหล่านี้ช่วยให้เข้าถึงการดูแลสุขภาพที่มิฉะนั้นจะเป็นเรื่องยากหรือมีค่าใช้จ่ายสูง แต่สิ่งนี้หมายความว่าคุณควรพิจารณาอย่างรอบคอบว่าคุณแบ่งปันข้อมูลอะไรผ่านแพลตฟอร์มสุขภาพดิจิทัลใดๆ รวมถึงผ่านตั๋วสนับสนุนและฟังก์ชันแชท ซึ่งอาจถูกจัดเก็บและประมวลผลนอกระบบหลักของบริษัท
ขั้นตอนที่ควรดำเนินการหลังการละเมิดข้อมูลสุขภาพ
หากคุณใช้ Hims & Hers หรือแพลตฟอร์มสุขภาพทางไกลที่คล้ายกัน ต่อไปนี้คือขั้นตอนที่เป็นรูปธรรมที่ควรดำเนินการทันที:
- ติดตามความพยายามฟิชชิง ผู้โจมตีที่ได้รับข้อมูลด้านสุขภาพมักนำไปใช้สร้างข้อความฟิชชิงที่น่าเชื่อถืออย่างยิ่ง จงระวังอีเมลหรือข้อความที่ไม่ได้ร้องขอซึ่งอ้างอิงถึงสภาวะสุขภาพ ยา หรือการโต้ตอบก่อนหน้านี้กับแพลตฟอร์มของคุณ
- ตรวจสอบบัญชีของคุณ ตรวจสอบบัญชี Hims และวิธีการชำระเงินที่เชื่อมโยงสำหรับกิจกรรมที่ผิดปกติ รายงานสิ่งที่น่าสงสัยทั้งต่อแพลตฟอร์มและสถาบันการเงินของคุณ
- เฝ้าระวังการฉ้อโกงข้อมูลส่วนตัว การขโมยข้อมูลส่วนตัวทางการแพทย์ ซึ่งคือการที่ผู้อื่นใช้ข้อมูลของคุณเพื่อรับใบสั่งยาหรือสิทธิประโยชน์ประกันภัยอย่างฉ้อโกง อาจตรวจพบได้ยาก พิจารณาการวางการแจ้งเตือนการฉ้อโกงกับสำนักงานเครดิตหลักและติดตามใบแจ้งการประกันภัยของคุณสำหรับบริการที่คุณไม่ได้รับ
- จำกัดสิ่งที่คุณแบ่งปันในตั๋วสนับสนุน ในอนาคต โปรดตระหนักว่าช่องทางสนับสนุนลูกค้าของบริษัทใดๆ อาจได้รับการจัดการโดยผู้ให้บริการบุคคลที่สามที่มีมาตรการความปลอดภัยของตนเอง หลีกเลี่ยงการแบ่งปันรายละเอียดมากกว่าที่จำเป็นอย่างเคร่งครัด
- ติดตามข้อมูลเกี่ยวกับการละเมิดอย่างต่อเนื่อง คอยติดตามการสื่อสารอย่างเป็นทางการจาก Hims เกี่ยวกับขอบเขตของเหตุการณ์และขั้นตอนการแก้ไขที่พวกเขาเสนอ เช่น บริการติดตามเครดิต
การละเมิดข้อมูลในบริษัทด้านสุขภาพจะไม่หายไป เมื่อบริการสุขภาพมากขึ้นเรื่อยๆ ย้ายไปสู่โลกออนไลน์ ปริมาณข้อมูลทางการแพทย์ที่ละเอียดอ่อนที่แพลตฟอร์มดิจิทัลถือครองก็จะเพิ่มขึ้นเรื่อยๆ เช่นกัน การเป็นผู้ใช้บริการที่รอบคอบและมีข้อมูลเป็นหนึ่งในการป้องกันที่มีประสิทธิภาพที่สุดที่มีให้กับคนทั่วไป การทำความเข้าใจว่าใครถือครองข้อมูลของคุณ และพวกเขาทำอะไรกับมัน เป็นจุดเริ่มต้นที่สมเหตุสมผลในการปกป้องตนเอง
