Firma telemedyczna Hims & Hers doświadczyła w lutym incydentu związanego z bezpieczeństwem, podczas którego napastnicy uzyskali dostęp do systemu strony trzeciej umożliwiającego przetwarzanie żądań obsługi klienta. Włamanie, potwierdzone przez firmę w zgłoszeniu złożonym do Prokuratora Generalnego Kalifornii, naraziło na szwank dane klientów przekazane w ramach próśb o pomoc.
Szczegóły hackowania
Od 4 do 7 lutego nieupoważnione osoby przedostały się na platformę, kradnąc znaczną liczbę próśb o pomoc. Żądania te obejmowały nazwiska klientów, dane kontaktowe i nieokreślone dane osobowe. Chociaż firma Hims & Hers twierdzi, że dokumentacja medyczna nie została bezpośrednio ujawniona, charakter interakcji z obsługą klienta często wiąże się z udostępnianiem poufnych informacji o koncie i osobistych pytań zdrowotnych. Dokładna liczba dotkniętych osób pozostaje nieznana, chociaż prawo stanu Kalifornia wymaga ujawnienia informacji, jeśli problem dotyczy więcej niż 500 mieszkańców.
Inżynieria społeczna
Według rzecznika firmy Jake’a Martina włamanie było wynikiem ataku socjotechnicznego. Taktyka ta polega na manipulowaniu pracownikami w celu udzielenia dostępu do systemu z pominięciem tradycyjnych zabezpieczeń. Skradzione dane „obejmowały przede wszystkim nazwiska klientów i adresy e-mail”, chociaż pełny zakres skompromitowanych informacji nie został ujawniony publicznie. Hims & Hers nie podała, czy napastnicy żądali okupu, czy też nawiązali dalszy kontakt.
Rosnący trend hackowania systemów wsparcia
Systemy obsługi klienta coraz częściej stają się celem hakerów motywowanych finansowo. Systemy te przechowują cenne dane, co czyni je idealnymi kandydatami do kradzieży danych i wymuszeń. W ostatnich miesiącach zaobserwowano wzrost liczby takich ataków, ponieważ cyberprzestępcy wykorzystują luki w zabezpieczeniach tych platform w celu wydobycia informacji o klientach w celu osiągnięcia zysku.
Hack Hims & Hers podkreśla krytyczną potrzebę stosowania silnych protokołów bezpieczeństwa w systemach innych firm, które obsługują wrażliwe dane klientów. Incydent pokazuje, jak łatwo atakujący mogą wykorzystać błąd ludzki w celu ominięcia technicznych środków bezpieczeństwa.
