Утечка данных в Hims & Hers: хакеры атаковали систему поддержки

Компания Hims & Hers, предоставляющая телемедицинские услуги, включая препараты для снижения веса и средства для улучшения сексуального здоровья, официально подтвердила факт утечки данных. Инцидент затронул стороннюю платформу, используемую для обработки обращений в службу поддержки клиентов.

В уведомлении о нарушении безопасности, направленном в офис генерального прокурора Калифорнии, указано, что злоумышленники получили доступ к данным пользовательских запросов, отправленных в службу поддержки. Взлом произошёл в период с 4 по 7 февраля через систему тикетов, обслуживаемую третьей стороной. В результате были похищены многочисленные обращения, содержащие личную информацию клиентов.

Согласно документу, хакеры завладели именами и контактными данными клиентов, а также другой персональной информацией, конкретный характер которой в публичном письме был скрыт. Компания подчёркивает, что медицинские записи пациентов не пострадали. Однако характер данных в системах поддержки предполагает, что утечка могла затронуть конфиденциальные сведения об учётных записях пользователей и их здоровье.

Точное количество лиц, чьи данные были скомпрометированы, пока не раскрывается. По законам Калифорнии, компании обязаны сообщать об утечках, если они затрагивают 500 и более жителей штата.

Представитель Hims & Hers Джейк Мартин заявил, что инцидент стал результатом социальной инженерии: злоумышленники обманным путём убедили сотрудников предоставить доступ к системам. По его словам, похищенные данные в основном включали имена и адреса электронной почты клиентов. Компания отказалась уточнять, поступали ли от хакеров какие-либо требования, в том числе о выплате выкупа.

В последние месяцы системы поддержки клиентов и тикетов стали приоритетной целью для хакеров, мотивированных финансовой выгодой. Они регулярно атакуют базы данных с клиентской информацией, пытаясь затем вымогать деньги у компаний.

Например, в прошлом году подобный инцидент произошёл с платформой Discord, где взлом системы поддержки привёл к утечке удостоверений личности, включая водительские права и паспорта, около 70 000 пользователей, предоставивших эти документы для верификации возраста.