Telezorgbedrijf Hims & Hers heeft in februari te maken gehad met een beveiligingsincident, waarbij hackers toegang kregen tot het externe ticketingsysteem voor klantenondersteuning. De inbreuk, bevestigd door het bedrijf in een aanvraag bij de procureur-generaal van Californië, bracht klantgegevens in gevaar die via ondersteuningsverzoeken waren ingediend.
Details van de inbreuk
Tussen 4 en 7 februari infiltreerden ongeautoriseerde actoren het platform, waarbij ze een aanzienlijk aantal supporttickets stalen. Deze tickets bevatten klantnamen, contactgegevens en niet-gespecificeerde persoonlijke gegevens. Hoewel Hims & Hers beweert dat medische gegevens niet direct openbaar zijn gemaakt, omvat de aard van ondersteuningsinteracties vaak het delen van gevoelige accountgegevens en persoonlijke gezondheidsvragen. Het exacte aantal getroffen personen blijft onbekend, hoewel de wet van Californië openbaarmaking verplicht als meer dan 500 inwoners getroffen zijn.
Sociale engineering-aanval
Volgens een woordvoerder van het bedrijf, Jake Martin, vond de inbraak plaats via een social engineering-aanval. Deze tactiek houdt in dat werknemers worden gemanipuleerd om systeemtoegang te verlenen, waarbij traditionele beveiligingsmaatregelen worden omzeild. De gestolen gegevens “bevatten voornamelijk klantnamen en e-mailadressen”, hoewel de volledige omvang van de gecompromitteerde informatie niet openbaar is gemaakt. Hims & Hers heeft niet bekendgemaakt of de hackers losgeld hebben geëist of verder contact hebben opgenomen.
Groeiende trend van hacks van ondersteuningssystemen
Klantondersteuningssystemen worden steeds vaker het doelwit van financieel gemotiveerde hackers. Deze systemen slaan waardevolle gegevens op, waardoor ze uitstekende kandidaten zijn voor gegevensdiefstal en afpersingsprogramma’s. De afgelopen maanden is het aantal dergelijke aanvallen toegenomen, omdat cybercriminelen kwetsbaarheden in deze platforms misbruiken om klantinformatie te ontfutselen voor financieel gewin.
De inbreuk op Hims & Hers onderstreept de cruciale behoefte aan robuuste beveiligingsprotocollen in systemen van derden die gevoelige klantgegevens verwerken. Het incident benadrukt hoe gemakkelijk aanvallers menselijke fouten kunnen misbruiken om technische verdedigingsmechanismen te omzeilen.
