サポートプラットフォーム侵害がHims & Hersカスタマーデータを暴露

医療会社は想像できる限りで最も個人的なデータを扱っています。それはハッカーの磁石となります。これらの企業が顧客サポートを第三者プラットフォームにアウトソースすると、それぞれのプラットフォームが誰かが突き破ろうとするもう一つのドアになります。

テレヘルス大手のHims & Hersはこの苦い教訓を学びました。同社は顧客に通知しており、ハッカーが顧客サービスプラットフォームに侵入し、サポートチケットデータを盗んだことが明らかになりました。

何が起こったのか

Hims & Hersはアメリカ最大級のダイレクト・ツー・コンシューマーテレヘルスブランドの一つで、脱毛、勃起不全、精神健康、スキンケア、体重減少に対するサブスクリプションベースの治療を提供しており、年間収益は10億ドル近くに達しています。

2月5日、同社は第三者の顧客サービスプラットフォームで不審な活動を検出しました。調査の結果、2月4日から2月7日の間に、攻撃者は無許可で顧客サービスチケットにアクセスするか盗んでいたことが判明しました。個人情報がこれらのチケットに含まれていることを同社が確認したのは3月3日でした。

公開されたデータには、名前、連絡先情報、およびユーザーが提出したサポートリクエストに関連するその他の詳細が含まれる可能性があります。Hims & Hersは医療記録と医師の通信は侵害されなかったと述べています。ある程度は安心できるところもあります。しかし、機密条件の治療を扱う企業の場合、名前と連絡先のリストだけでも、ほとんどの人がプライベートに保ちたい詳細が明らかになります。

ShinyHuntersが再び襲撃

Hims & Hersは攻撃者を明かしていませんが、BleepingComputerは報告しており、ShinyHunters脅迫ギャングがこの侵害の背後にいたとのことです。データはSSO販売業者Oktaのソフトウェアで管理されるシングルサインオン(SSO)アカウントを侵害してクラウドサービスとSaaSプラットフォームに侵入する、より広いキャンペーンの一部として盗まれました。

ShinyHuntersはソーシャルエンジニアリングを使用してIT支援になりすまし、従業員に電話をかけ、フィッシングページで認証情報とMFAコードを入力するよう誘導しています。SSOアカウント内に侵入すると、攻撃者はすべての接続されたサービスの鍵を持つことになります。Hims & Hersの場合、それはZendeskインスタンスと数百万のサポートチケットを意味していました。

Hims & Hersは決して単独ではありません。DIYリテーラーのManoManoは2月に3,800万人の顧客が独自のZendeskベースのカスタマーサービスプロバイダーの侵害の影響を受けたことを開示しました。先月、このグループはサポートプロバイダーのTELUS Digitalが運営するZendeskインスタンスからアニメプラットフォームのCrunchyrollに属する約800万件のサポートチケットレコードを盗んだのです。

カスタマーサポートプラットフォームはフロントドアになり、攻撃者はそれを理解しています。企業のサポートプロバイダーを侵害することで、攻撃者は潜在的に数千の企業のレコードにアクセスできるようになります。

警戒し続ける理由（および方法）

Hims & Hersは12ヶ月間の無料クレジット監視を提供しており、これは最近の標準的なブレーチ後の対応です。しかし、クレジット監視は、実際の処方箋に関するあなたの実際のサポートチケットを参照するフィッシングメールを防ぐことはできません。

企業が犯人が機密の盗まれたデータを使用して説得力のあるスキャムと脅迫の試みを構築することを警告しているのをすでに見ています。まだ見たことはありませんが、機密の薬の購入に関する情報を含むレコードにアクセスできる人が、それを使用して被害者を困らせることは完全に可能です。

また、健康製品の購入に関する情報を含む盗まれたサポートデータをなりすましメールと組み合わせることも可能です。これらの可能性は、あらゆる種類の医療データが非常に求められている理由の一部です。FBIはすでに犯人が保険会社や請求調査官になりすまして患者を騙して医療記録と銀行の詳細を引き渡させていると警告しています。

Hims & Hersの顧客である場合は、無料のクレジット監視を利用してください。ただし、詐欺や脅迫を回避するのに関する私たちのガイダンスも考慮に入れ、ここで私たちのSTOP応答フレームワークに従ってください。あなたの治療またはサポート履歴を参照する迷惑メールやテキストに注意してください。疑わしいリンクをクリックしないでください。また、知らない人と情報を共有しないでください。信頼できる連絡方法を使用して企業と直接確認してください。

ダークウェブをあなたの個人情報について検索し、既知の侵害に対してメールアドレスを確認するツールを使用することも良い考えです。これにより、人々があなたについての盗まれたレコードを取引している（または取引する可能性がある）場合は事前に知ることができます。MalwarebytesのDigital Footprint スキャナーがこれを行います。