La società di telemedicina Hims & Hers ha subito un incidente di sicurezza a febbraio, con hacker che hanno avuto accesso al suo sistema di ticketing di assistenza clienti di terze parti. La violazione, confermata dalla società in una dichiarazione presso il procuratore generale della California, ha compromesso i dati dei clienti inviati tramite richieste di supporto.
Dettagli della violazione
Tra il 4 e il 7 febbraio, soggetti non autorizzati si sono infiltrati nella piattaforma, rubando un volume significativo di ticket di supporto. Questi biglietti contenevano nomi di clienti, informazioni di contatto e dati personali non specificati. Sebbene Hims & Hers affermi che le cartelle cliniche non sono state esposte direttamente, la natura delle interazioni di supporto spesso implica la condivisione di dettagli sensibili dell’account e domande sulla salute personale. Il numero esatto delle persone colpite rimane sconosciuto, anche se la legge della California impone la divulgazione se sono colpiti più di 500 residenti.
Attacco di ingegneria sociale
Secondo Jake Martin, portavoce dell’azienda, l’intrusione è avvenuta tramite un attacco di ingegneria sociale. Questa tattica prevede la manipolazione dei dipendenti affinché concedano l’accesso al sistema, aggirando le tradizionali misure di sicurezza. I dati rubati “includevano principalmente nomi di clienti e indirizzi e-mail”, sebbene l’intera portata delle informazioni compromesse non sia stata pubblicamente dettagliata. Hims & Hers non ha rivelato se gli hacker abbiano chiesto un riscatto o abbiano stabilito ulteriori contatti.
Tendenza in crescita degli attacchi ai sistemi di supporto
I sistemi di assistenza clienti sono sempre più presi di mira da hacker motivati dal punto di vista finanziario. Questi sistemi archiviano dati preziosi, rendendoli i principali candidati per il furto di dati e schemi di estorsione. Negli ultimi mesi si è assistito a un aumento di tali attacchi, poiché i criminali informatici sfruttano le vulnerabilità di queste piattaforme per estrarre informazioni sui clienti a scopo di lucro.
La violazione di Lui e Lei sottolinea la necessità fondamentale di robusti protocolli di sicurezza nei sistemi di terze parti che gestiscono i dati sensibili dei clienti. L’incidente evidenzia con quanta facilità gli aggressori possono sfruttare l’errore umano per aggirare le difese tecniche.
