Im Telemedizinunternehmen Hims & Hers kam es im Februar zu einem Sicherheitsvorfall, bei dem sich Hacker Zugriff auf das Ticketsystem für den Kundensupport eines Drittanbieters verschafften. Durch den Verstoß, den das Unternehmen in einer Einreichung beim kalifornischen Generalstaatsanwalt bestätigte, wurden Kundendaten gefährdet, die über Supportanfragen übermittelt wurden.
Details zum Verstoß
Zwischen dem 4. und 7. Februar infiltrierten unbefugte Akteure die Plattform und stahlen eine beträchtliche Menge an Support-Tickets. Diese Tickets enthielten Kundennamen, Kontaktinformationen und nicht näher bezeichnete personenbezogene Daten. Obwohl Hims & Hers behauptet, dass Krankenakten nicht direkt offengelegt wurden, beinhaltet die Natur der Support-Interaktionen häufig die Weitergabe vertraulicher Kontodaten und persönlicher Gesundheitsanfragen. Die genaue Zahl der betroffenen Personen bleibt unbekannt, obwohl das kalifornische Gesetz eine Offenlegung vorschreibt, wenn mehr als 500 Einwohner betroffen sind.
Social-Engineering-Angriff
Laut einem Unternehmenssprecher, Jake Martin, erfolgte der Eingriff über einen Social-Engineering-Angriff. Bei dieser Taktik werden Mitarbeiter dazu manipuliert, Systemzugriff zu gewähren und dabei herkömmliche Sicherheitsmaßnahmen zu umgehen. Zu den gestohlenen Daten gehörten „in erster Linie Kundennamen und E-Mail-Adressen“, das volle Ausmaß der kompromittierten Informationen wurde jedoch nicht öffentlich bekannt gegeben. Hims & Hers hat nicht bekannt gegeben, ob die Hacker ein Lösegeld gefordert oder weitere Kontakte aufgenommen haben.
Wachsender Trend zu Support-System-Hacks
Kundensupportsysteme geraten zunehmend ins Visier finanziell motivierter Hacker. Diese Systeme speichern wertvolle Daten und sind daher erstklassige Kandidaten für Datendiebstahl und Erpressungspläne. In den letzten Monaten kam es zu einem Anstieg solcher Angriffe, da Cyberkriminelle Schwachstellen in diesen Plattformen ausnutzen, um Kundeninformationen aus finanziellen Gründen abzugreifen.
Der Verstoß gegen Hims & Hers unterstreicht den dringenden Bedarf an robusten Sicherheitsprotokollen in Drittsystemen, die sensible Kundendaten verarbeiten. Der Vorfall zeigt, wie leicht Angreifer menschliches Versagen ausnutzen können, um technische Abwehrmaßnahmen zu umgehen.
