Gã Khổng Lồ Chăm Sóc Sức Khỏe Từ Xa Hims Bị Vi Phạm Dữ Liệu Làm Lộ Hồ Sơ Y Tế

Công ty chăm sóc sức khỏe từ xa Hims & Hers Health đã xác nhận một vụ vi phạm dữ liệu làm lộ một trong những loại thông tin cá nhân nhạy cảm nhất mà một công ty có thể nắm giữ: Thông Tin Sức Khỏe Được Bảo Vệ (PHI). Vụ vi phạm xảy ra sau khi các tác nhân đe dọa đã truy cập trái phép vào nền tảng hỗ trợ khách hàng của bên thứ ba mà công ty sử dụng. Dữ liệu bị lộ bao gồm thông tin chứa trong các phiếu hỗ trợ khách hàng, trong bối cảnh chăm sóc sức khỏe từ xa, điều này có nghĩa là các chi tiết liên quan đến đơn thuốc, tư vấn y tế và các tình trạng sức khỏe cá nhân.

Nhóm hacker ShinyHunters đã nhận trách nhiệm về cuộc tấn công. Nhóm này được biết đến rộng rãi trong giới an ninh mạng với các hoạt động đánh cắp dữ liệu quy mô lớn và đã được liên kết với một số vụ vi phạm nổi tiếng trong những năm gần đây. Sự tham gia của họ ngay lập tức làm dấy lên lo ngại về những gì sẽ xảy ra với dữ liệu bị đánh cắp tiếp theo, bao gồm khả năng tống tiền, bán lại trên thị trường dark web, hoặc các chiến dịch lừa đảo có mục tiêu nhắm vào người dùng bị ảnh hưởng.

Tại Sao Các Nhà Cung Cấp Bên Thứ Ba Là Mắt Xích Yếu Trong Bảo Mật Y Tế

Một trong những chi tiết quan trọng nhất trong vụ vi phạm này là nơi nó xảy ra: không phải bên trong cơ sở hạ tầng cốt lõi của Hims, mà thông qua một nền tảng hỗ trợ khách hàng của bên thứ ba. Đây là một mô hình ngày càng trở nên phổ biến và ngày càng có hậu quả nghiêm trọng.

Các công ty lớn thường xuyên thuê ngoài các chức năng như hỗ trợ khách hàng, thanh toán và lưu trữ dữ liệu cho các nhà cung cấp chuyên biệt. Mỗi nhà cung cấp đó trở thành một phần mở rộng của bề mặt tấn công của công ty. Khi người dùng đăng ký dịch vụ chăm sóc sức khỏe từ xa, họ không chỉ tin tưởng công ty đó với dữ liệu của mình. Họ cũng đang tin tưởng mọi nhà cung cấp, nhà thầu và nhà cung cấp phần mềm mà công ty đó hợp tác.

Điều này đặc biệt có vấn đề trong lĩnh vực chăm sóc sức khỏe. Theo luật pháp Hoa Kỳ, các công ty xử lý PHI bắt buộc phải đảm bảo rằng các đối tác kinh doanh và nhà cung cấp của họ đáp ứng các tiêu chuẩn tuân thủ HIPAA. Nhưng tuân thủ trên giấy tờ không phải lúc nào cũng chuyển thành bảo mật hiệu quả trong thực tế. Một công ty có nhiều tài nguyên như Hims có thể đầu tư mạnh vào hệ thống phòng thủ của chính mình trong khi vẫn bị lộ thông qua một nhà cung cấp có biện pháp kiểm soát yếu hơn.

Vụ vi phạm của Hims không phải là trường hợp đơn lẻ. Các công ty chăm sóc sức khỏe và chăm sóc sức khỏe từ xa đã trở thành mục tiêu hàng đầu chính xác là vì dữ liệu họ nắm giữ rất có giá trị. Hồ sơ y tế có giá cao hơn đáng kể trên các thị trường tội phạm so với số thẻ tín dụng, vì chúng chứa thông tin không thể dễ dàng thay đổi và có thể được sử dụng để gian lận bảo hiểm, đánh cắp danh tính và kỹ thuật xã hội có mục tiêu.

Điều Này Có Ý Nghĩa Gì Đối Với Bạn

Nếu bạn là khách hàng của Hims hoặc Hims & Hers, bạn nên giả định rằng thông tin bạn đã chia sẻ qua các kênh hỗ trợ khách hàng có thể đã bị lộ. Điều này có thể bao gồm tên, thông tin liên lạc và chi tiết về các tư vấn y tế hoặc đơn thuốc mà bạn đã thảo luận với nhóm hỗ trợ.

Rộng hơn, vụ vi phạm này là lời nhắc nhở hữu ích về những rủi ro đến từ việc lưu trữ thông tin cá nhân nhạy cảm trong các hệ thống tập trung. Các nền tảng chăm sóc sức khỏe từ xa được xây dựng xung quanh sự tiện lợi, và sự tiện lợi đó thường có nghĩa là tổng hợp dữ liệu sức khỏe của bạn theo những cách tạo ra mục tiêu hấp dẫn cho những kẻ tấn công. Công ty nắm giữ càng nhiều dữ liệu, và càng chia sẻ dữ liệu đó với nhiều nhà cung cấp hơn, thì phạm vi thiệt hại tiềm năng càng lớn khi có sự cố xảy ra.

Điều này không có nghĩa là bạn nên tránh các dịch vụ chăm sóc sức khỏe từ xa. Đối với nhiều người, chúng cung cấp khả năng tiếp cận chăm sóc mà nếu không sẽ khó khăn hoặc tốn kém để có được. Nhưng điều đó có nghĩa là bạn nên suy nghĩ cẩn thận về những thông tin bạn chia sẻ thông qua bất kỳ nền tảng sức khỏe kỹ thuật số nào, bao gồm cả thông qua phiếu hỗ trợ và chức năng trò chuyện, những thứ có thể được lưu trữ và xử lý bên ngoài các hệ thống chính của công ty.

Các Bước Thực Tế Sau Khi Vi Phạm Dữ Liệu Sức Khỏe

Nếu bạn sử dụng Hims & Hers hoặc một nền tảng chăm sóc sức khỏe từ xa tương tự, đây là một số bước cụ thể đáng thực hiện ngay bây giờ:

  • Theo dõi các nỗ lực lừa đảo. Những kẻ tấn công có được dữ liệu liên quan đến sức khỏe thường sử dụng nó để tạo ra các tin nhắn lừa đảo rất thuyết phục. Hãy hoài nghi về bất kỳ email hoặc tin nhắn không được yêu cầu nào đề cập đến tình trạng sức khỏe, thuốc men hoặc các tương tác trước đây của bạn với nền tảng.
  • Kiểm tra tài khoản của bạn. Xem xét tài khoản Hims của bạn và bất kỳ phương thức thanh toán được liên kết nào để tìm hoạt động bất thường. Báo cáo bất cứ điều gì đáng ngờ cho cả nền tảng và tổ chức tài chính của bạn.
  • Cảnh giác với gian lận danh tính. Đánh cắp danh tính y tế, khi ai đó sử dụng thông tin của bạn để gian lận lấy đơn thuốc hoặc quyền lợi bảo hiểm, có thể khó phát hiện. Hãy cân nhắc đặt cảnh báo gian lận với các cơ quan tín dụng lớn và theo dõi sao kê bảo hiểm của bạn để tìm các dịch vụ bạn không nhận được.
  • Hạn chế những gì bạn chia sẻ trong phiếu hỗ trợ. Về sau, hãy lưu ý rằng các kênh hỗ trợ khách hàng tại bất kỳ công ty nào cũng có thể được xử lý bởi các nhà cung cấp bên thứ ba với trạng thái bảo mật riêng của họ. Tránh chia sẻ nhiều chi tiết hơn mức thực sự cần thiết.
  • Cập nhật thông tin về vụ vi phạm. Theo dõi các thông tin liên lạc chính thức từ Hims về phạm vi của sự cố và bất kỳ bước khắc phục nào họ cung cấp, chẳng hạn như dịch vụ giám sát tín dụng.

Các vụ vi phạm dữ liệu tại các công ty chăm sóc sức khỏe sẽ không biến mất. Khi ngày càng nhiều dịch vụ sức khỏe chuyển sang trực tuyến, lượng dữ liệu y tế nhạy cảm được nắm giữ bởi các nền tảng kỹ thuật số sẽ chỉ tăng lên. Trở thành người dùng cẩn thận và hiểu biết của các dịch vụ này là một trong những biện pháp phòng thủ hiệu quả nhất dành cho người bình thường. Hiểu ai đang nắm giữ dữ liệu của bạn và họ làm gì với nó là điểm khởi đầu hợp lý để bảo vệ bản thân.