A empresa de telessaúde Hims & Hers sofreu um incidente de segurança em fevereiro, com hackers obtendo acesso ao seu sistema terceirizado de tickets de suporte ao cliente. A violação, confirmada pela empresa em um documento apresentado ao Procurador-Geral da Califórnia, comprometeu os dados dos clientes enviados por meio de solicitações de suporte.
Detalhes da violação
Entre os dias 4 e 7 de fevereiro, atores não autorizados se infiltraram na plataforma, roubando um volume significativo de tickets de suporte. Esses tickets continham nomes de clientes, informações de contato e dados pessoais não especificados. Embora Hims & Hers afirme que os registros médicos não foram expostos diretamente, a natureza das interações de suporte geralmente envolve o compartilhamento de detalhes confidenciais de contas e consultas pessoais de saúde. O número exacto de indivíduos afectados permanece desconhecido, embora a lei da Califórnia exija a divulgação se mais de 500 residentes forem afectados.
Ataque de engenharia social
Segundo o porta-voz da empresa, Jake Martin, a intrusão ocorreu por meio de um ataque de engenharia social. Essa tática envolve manipular os funcionários para que concedam acesso ao sistema, contornando as medidas de segurança tradicionais. Os dados roubados “incluíam principalmente nomes de clientes e endereços de e-mail”, embora a extensão total das informações comprometidas não tenha sido detalhada publicamente. Hims & Hers não revelou se os hackers exigiram resgate ou fizeram algum contato adicional.
Tendência crescente de hacks em sistemas de suporte
Os sistemas de suporte ao cliente são cada vez mais alvo de hackers com motivação financeira. Esses sistemas armazenam dados valiosos, o que os torna os principais candidatos a esquemas de roubo de dados e extorsão. Nos últimos meses, assistimos a um aumento neste tipo de ataques, à medida que os cibercriminosos exploram vulnerabilidades nestas plataformas para extrair informações dos clientes para obter ganhos financeiros.
A violação da Hims & Hers ressalta a necessidade crítica de protocolos de segurança robustos em sistemas de terceiros que lidam com dados confidenciais de clientes. O incidente destaca a facilidade com que os invasores podem explorar o erro humano para contornar as defesas técnicas.
