遠隔医療プロバイダーは、ハッカーがサードパーティの顧客サービスプラットフォームにアクセスしたと述べたが、医療記録は安全なままであった。
Hims & Hersは、サンフランシスコに本拠を置く遠隔医療企業で、2月に「巧妙な社会工学攻撃」により影響を受け、ハッカーがそのサードパーティ顧客サービスプラットフォームにアクセスしたと、規制ファイリングで述べられている。
同社は、2月4日から2月7日の間に、不明な当事者がサービスチケットへの不正なアクセスを取得したと述べた。木曜日のファイリングによるとカリフォルニア司法長官事務所へのもの。
同社は2月5日に疑わしい活動を発見し、顧客サービス環境を保護するための措置を講じ、調査を開始した。
「当社は、当社のプラットフォーム上の電子医療記録およびヘルスケアプロバイダーとのコミュニケーションがアクセスされていないことを確認しました。」とHims & Hersのスポークスパーソンが、Cybersecurity Diveに述べた。「サードパーティのアクセスは当社の顧客サービスソフトウェアプラットフォームに限定され、アクセスされたデータは主に顧客名とメールアドレスを含んでいました。」
同社は、約250万人の加入者を持ち、健康治療とウェルネス製品の主要なプロバイダーである。先月、同社はNovo Nordiskとの契約を発表し、FDA承認の体重減少薬を提供する医療サポート付きで。
カリフォルニア司法長官へのファイリングによると、攻撃中に顧客の医療記録はアクセスされず、プラットフォーム上のヘルスケアプロバイダーとのコミュニケーションもアクセスされなかった。
ファイリングによると、同社は法執行機関に通知し、将来同様の事件が起こる可能性を減らすために、内部方針と手順を検討している。
同社は、社会工学攻撃が2人の従業員を標的としたことを確認した。情報公開によると同社の2月22日の10-Kファイリング証券取引委員会へのもの。
報告書によると、ハッカーは2025年2月から2026年2月の間にオンラインプラットフォームを通じて同社のカスタマーサービス部門に連絡した特定の顧客の一部の治療情報にアクセスしたかもしれない。
Hims & Hers関係者は、ファイリングで、この事件が同社の財務成績に重大な影響を与えるとは考えていないと述べた。
翻訳元: https://www.cybersecuritydive.com/news/hims-hers-data-stolen-social-engineering/816707/
