La société de télésanté Hims & Hers a connu un incident de sécurité en février, des pirates informatiques ayant accès à son système de ticket d’assistance client tiers. La violation, confirmée par la société dans un dossier déposé auprès du procureur général de Californie, a compromis les données des clients soumises via des demandes d’assistance.
Détails de la violation
Entre le 4 et le 7 février, des acteurs non autorisés ont infiltré la plateforme, volant un volume important de tickets de support. Ces tickets contenaient les noms des clients, leurs coordonnées et des données personnelles non précisées. Bien que Hims & Hers affirme que les dossiers médicaux n’ont pas été directement exposés, la nature des interactions d’assistance implique souvent le partage de détails de compte sensibles et de demandes de renseignements personnelles sur la santé. Le nombre exact de personnes concernées reste inconnu, bien que la loi californienne impose la divulgation si plus de 500 résidents sont concernés.
Attaque d’ingénierie sociale
Selon un porte-parole de l’entreprise, Jake Martin, l’intrusion s’est produite via une attaque d’ingénierie sociale. Cette tactique consiste à manipuler les employés pour qu’ils accordent l’accès au système, en contournant les mesures de sécurité traditionnelles. Les données volées « comprenaient principalement les noms et adresses e-mail des clients », bien que l’étendue complète des informations compromises n’ait pas été rendue publique. Hims & Hers n’a pas révélé si les pirates avaient demandé une rançon ou pris d’autres contacts.
Tendance croissante des piratages du système de support
Les systèmes de support client sont de plus en plus ciblés par des pirates informatiques motivés par l’argent. Ces systèmes stockent des données précieuses, ce qui en fait des candidats privilégiés pour les stratagèmes de vol et d’extorsion de données. Ces derniers mois, de telles attaques ont augmenté, les cybercriminels exploitant les vulnérabilités de ces plateformes pour extraire des informations sur les clients à des fins financières.
La faille Hims & Hers souligne le besoin crucial de protocoles de sécurité robustes dans les systèmes tiers qui gèrent les données sensibles des clients. L’incident met en évidence la facilité avec laquelle les attaquants peuvent exploiter l’erreur humaine pour contourner les défenses techniques.
