Витік даних Hims розкрив конфіденційні медичні записи

Телемедичний гігант Hims постраждав від витоку даних із розкриттям медичних записів

Телемедична компанія Hims & Hers Health підтвердила витік даних, який розкрив одні з найбільш чутливих категорій особистої інформації, що може зберігати компанія: захищену медичну інформацію (PHI). Витік стався після того, як зловмисники отримали несанкціонований доступ до сторонньої платформи підтримки клієнтів, якою користується компанія. Серед розкритих даних — інформація, що міститься в тікетах служби підтримки клієнтів, яка в контексті телемедицини включає відомості про рецепти, медичні консультації та особисті стани здоров'я.

Хакерська група ShinyHunters взяла на себе відповідальність за атаку. Ця група добре відома у колах кібербезпеки завдяки масштабним операціям з крадіжки даних і пов'язана з кількома резонансними витоками останніх років. Їхня причетність негайно породжує занепокоєння щодо того, що станеться з викраденими даними надалі, — включаючи можливе вимагання, перепродаж на ринках даркнету або цілеспрямовані фішингові кампанії проти постраждалих користувачів.

Чому сторонні постачальники є слабкою ланкою у сфері охорони здоров'я

Один із найважливіших аспектів цього витоку — де саме він стався: не всередині основної інфраструктури Hims, а через сторонню платформу підтримки клієнтів. Це закономірність, яка стає дедалі поширенішою та дедалі більш відчутною за наслідками.

Великі компанії регулярно передають такі функції, як підтримка клієнтів, виставлення рахунків і зберігання даних, спеціалізованим постачальникам. Кожен із цих постачальників стає розширенням поверхні атаки компанії. Коли користувач реєструється в телемедичному сервісі, він довіряє свої дані не лише цій компанії, а й кожному постачальнику, підряднику та постачальнику програмного забезпечення, з яким ця компанія співпрацює.

Це особливо проблематично у сфері охорони здоров'я. Згідно з законодавством США, компанії, що обробляють PHI, зобов'язані забезпечити відповідність своїх ділових партнерів і постачальників стандартам HIPAA. Але відповідність на папері не завжди означає ефективну безпеку на практиці. Добре забезпечена ресурсами компанія, як-от Hims, може значно інвестувати у власний захист, залишаючись вразливою через постачальника зі слабшими засобами контролю.

Витік у Hims — не поодинокий випадок. Компанії у сфері охорони здоров'я та телемедицини стали першочерговими цілями саме тому, що дані, які вони зберігають, надзвичайно цінні. Медичні записи коштують значно дорожче на злочинних ринках, ніж номери кредитних карток, оскільки вони містять інформацію, яку неможливо легко змінити, і можуть використовуватися для страхового шахрайства, крадіжки особистих даних і цілеспрямованої соціальної інженерії.

Що це означає для вас

Якщо ви є клієнтом Hims або Hims & Hers, вам слід припустити, що інформація, якою ви ділилися через канали підтримки клієнтів, могла бути розкрита. Це може включати ваше ім'я, контактні дані, а також відомості про медичні консультації або рецепти, які ви обговорювали з командою підтримки.

У ширшому контексті цей витік є корисним нагадуванням про ризики, пов'язані зі зберіганням конфіденційної особистої інформації в централізованих системах. Телемедичні платформи побудовані на зручності, і ця зручність часто означає консолідацію ваших медичних даних у спосіб, що створює привабливі цілі для зловмисників. Що більше даних зберігає компанія і що більшій кількості постачальників вона їх передає, то більший потенційний масштаб збитків у разі інциденту.

Це не означає, що вам слід уникати телемедичних послуг. Для багатьох людей вони забезпечують доступ до медичної допомоги, яку інакше було б важко або дорого отримати. Але це означає, що вам варто ретельно обмірковувати, якою інформацією ви ділитеся на будь-якій цифровій медичній платформі, включаючи тікети підтримки та функції чату, які можуть зберігатися й оброблятися поза основними системами компанії.

Конкретні кроки після витоку медичних даних

Якщо ви користуєтеся Hims & Hers або подібною телемедичною платформою, ось кілька конкретних кроків, які варто зробити прямо зараз:

• Стежте за спробами фішингу. Зловмисники, які отримують медичні дані, часто використовують їх для складання надзвичайно переконливих фішингових повідомлень. Будьте скептично налаштовані щодо будь-яких небажаних електронних листів або повідомлень, що посилаються на ваші стани здоров'я, ліки або попередні взаємодії з платформою.
• Перевірте свої облікові записи. Перегляньте свій обліковий запис Hims і будь-які пов'язані платіжні методи на предмет підозрілої активності. Повідомляйте про все підозріле як платформі, так і вашій фінансовій установі.
• Стежте за шахрайством з особистими даними. Крадіжка медичної особистості — коли хтось використовує вашу інформацію для шахрайського отримання рецептів або страхових виплат — може бути важко виявити. Розгляньте можливість встановлення попередження про шахрайство в основних кредитних бюро та перевіряйте свої страхові виписки на наявність послуг, які ви не отримували.
• Обмежте інформацію в тікетах підтримки. Надалі майте на увазі, що канали підтримки клієнтів у будь-якій компанії можуть обслуговуватися сторонніми постачальниками з власним рівнем безпеки. Уникайте надання більше деталей, ніж це суворо необхідно.
• Слідкуйте за інформацією про витік. Очікуйте офіційних повідомлень від Hims щодо масштабів інциденту та будь-яких заходів з усунення наслідків, які вони пропонують, наприклад послуг моніторингу кредитної історії.

Витоки даних у медичних компаніях не припиняться. Зі збільшенням кількості медичних послуг, що переходять в онлайн, обсяг конфіденційних медичних даних, що зберігаються цифровими платформами, лише зростатиме. Бути обережним і поінформованим користувачем цих послуг — один із найефективніших захисних засобів, доступних звичайним людям. Розуміння того, хто зберігає ваші дані та що з ними робить, є розумною відправною точкою для захисту себе.