テレヘルス大手のHims & Hers Healthは、サードパーティのカスタマーサービスプラットフォームからサポートチケットが盗まれた後、データ漏洩を被ったことを警告しています。
Hims & Hersはアメリカのテレヘルス企業であり、薄毛治療、ED治療、精神衛生、スキンケア、体重管理、およびその他の状態やニーズに対する購読ベースの治療を提供する、ダイレクト・ツー・コンシューマー医療分野に特化しています。
オンラインファーマシーおよびテレヘルス分野で最も成功したアメリカのブランドの1つであり、強力なマーケティング存在感を持ち、年間売上はほぼ10億ドルに近いです。
カリフォルニア州当局と共有された通知サンプルによると、データ漏洩は2026年2月初旬に発生しました。
「2026年2月5日、Hims & Hers, Inc.はサードパーティのカスタマーサービスプラットフォームに影響を与える疑わしい活動に気付きました」と、影響を受けた個人に送られた手紙に記載されています。
「当社はサスタマーサービスプラットフォームを保護するための措置を直ちに講じ、潜在的なセキュリティインシデントの性質と範囲についての調査を開始しました。」
「調査の結果、2026年2月4日から2026年2月7日にかけて、当社のカスタマーサービスチームに送られた特定のチケットが認可なしにアクセスまたは取得されたことが判明しました。」
内部調査に続いて、同社は3月3日に、ハッカーがサポートチケットにアクセスしたことを確認しました。これらのチケットには、場合によっては個人情報が含まれていました。
露出した情報には、名前、連絡先情報、および各ケースで提出されたサポートリクエストに関連する可能性のあるその他の未指定のデータが含まれる可能性があります。
同社は、医療記録または医者との通信がこのインシデントで侵害されなかったことを強調しました。
同社が詳細を共有しなかった一方、BleepingComputerは先月、ShinyHunters恐喝ギャングがこの侵害を実行したことを学びました。
データは、脅威行為者がOkta SSOアカウントを侵害した広範なキャンペーンの一部として盗まれました。これにより、サードパーティのクラウドストレージサービスとSaaSプラットフォームにアクセスしてデータを盗むことができました。
この特定の攻撃では、BleepingComputerが知らされたところによると、脅威行為者がOkta SSOアカウントを使用してHis and Hers Zendesk インスタンスにアクセスし、数百万のサポートチケットを盗みました。
同社は現在、影響を受けたすべての個人に対して12か月間の無料クレジット監視サービスを提供しています。
顧客はまた、フィッシングまたはソーシャルエンジニアリング攻撃を含む可能性のある迷惑な通信に対して警戒を強化することが推奨されています。また、アカウント明細書を確認し、疑わしいアクティビティについてクレジットレポートを監視することをお勧めします。
BleepingComputerはインシデントの詳細および影響を受けた顧客の数についてさらに情報を要求するために同社に連絡しましたが、公開時までに返答を受け取っていません。
顧客サポートセキュリティ侵害の最近の2つの著名な事例は、2月のDIY店舗チェーンManoManoと3月のCrunchyrollのデータ漏洩につながったものです。これらの両方のケースでは、侵害されたプラットフォームはZendesk でした。
