出典: ZUMA Press, Inc. via Alamy Stock Photo
テレヘルス企業Hims & Hers Health(通称Hims)は、サードパーティのカスタマーサポートプラットフォーム経由でデータ漏洩を被りました。Himsの製品は極めてセンシティブな性質のため、顧客は深刻な恥ずかしい事態に遭う危険にさらされています。
COVID-19パンデミックが終わった後、いつカスタマーサポートラインに電話をかけて、「現在通話量が通常より多くなっております…」という自動メッセージを聞いたことはありませんか?通話の日時に関わらず。組織が段々と人間のカスタマーサービス担当者をボットで置き換え、それをCOVID-19パンデミックと呼んでいますが、彼らはカスタマーサービススタックのオンライン保護についても同等の費用削減アプローチをとっています。
サイバー犯罪者は近年、そのようなプラットフォームを標的にしており、Himsの場合、脅威アクターがカスタマーサポートチケットにアクセスし、顧客の極めてセンシティブな個人健康情報(PHI)の大量の情報が含まれていた可能性があります。悪名高いShinyHuntersグループが攻撃の責任を主張していると、BleepingComputerの報告によれば先週発表されましたが、これらの主張は検証されていません。
「これは単なるデータ漏洩ではなく、顧客関係の崩壊です」と、UJETのチーフビジネスオフィサーであるベイカー・ジョンソン氏は述べています。「誰かがサポートに連絡してきたとき、特にヘルスケアではそれは信頼の瞬間です。彼らは助けを求めて連絡してきたのに、代わりに彼らの信頼が損なわれました。それはエンゲージメント方法を変えます。そしてそのためらいが生じたら、ロイヤルティはすでにリスクにさらされています。」
Himsカスタマーデータに何が起こったのか?
バーモント州司法長官事務所への明らかに矛盾した漏洩開示の中で、Himsはカスタマーサービスプラットフォームを標的とした不審な活動に2月5日に最初に気付いたと報告しました。同社は影響を受けたサービスを「速やかに保護するための措置を講じた」と述べていますが、その措置はそれほど迅速な影響をもたらしませんでした。ハッカーは2月4日から2月7日まで継続的にアクセス権を保持していました。その間、カスタマーサポートを求める顧客からの「特定のチケット」が不正な行為者によって奪われました。
それらのサポートチケットに「限定的なセット」の影響を受けた顧客の名前と特定されていない医療情報が含まれていることを確認するのに1ヶ月かかりました。(会社の代表者はDark Readingの姉妹出版物であるCybersecurity Diveにメールアドレスも影響を受けたと述べました。)さらに1ヶ月後、同社は影響を受けた顧客に通知を開始しました。Himsはどのサードパーティサポートプラットフォームを使用しているかを明かしていません。
Dark ReadingはHimsに連絡しましたが、出版時までに応答がありませんでした。
ジョンソン氏にとって、Himsは業界を問わないトレンドの最新の例に過ぎません。「これはデザインの問題です。カスタマーサービスは現在、ビジネスにおける個人データの最も豊富なソースの1つですが、それでも断片化されたシステムのパッチワークを通じて管理されています。ここに録音があり、そこにスクリプトがあり、どこか別の場所にワークフローがあります。その断片化がリスクを生じさせるのです」と彼は述べています。
恥ずかしいPHIはリスク下にあるのか?
昔からの話のように、Himsは現在影響を受けた顧客に1年間無料の信用監視を提供しており、アイデンティティ保護に関する数段落のガイダンスを提供しています。
ただし、アイデンティティ詐欺の脅威は、Himsの顧客が現在直面している唯一の問題からは遠いです。けばけばしいビルボード広告とたえず続くポッドキャスト広告の間で、Himsは人々が最も話し合うのを恐れている種類の医療問題を中心にブランドを構築しています。勃起不全、抜け毛、肥満、メンタルヘルスなどです。
特にセンシティブなものを専門としているだけでなく、同社は主に若い層の人口統計に向けてマーケティングしています。これらの問題が特に社会的污名を持つ人生の時代の男性と女性です。このことを念頭に置いて、攻撃者がHimsから基本的な個人識別情報(PII)以上のものを取得した場合、そしてその情報だけでも潜在的に、それは彼らが個人を恐喝することを可能にする可能性があります。これは一般的なPHI流出が通常許可する以上のレベルです。
Dark ReadingはShinyHuntersまたは任何のサイバー犯罪グループがHimsのデータをまだ流出させた証拠を見つけることができませんでしたが、恐喝グループは被害者が身代金を払わない場合、盗まれたデータを流出させた履歴があります。
多くのサードパーティソフトウェアプラットフォームを管理する組織にとって、「前に進む道は、データが最初から複数のシステムに散らばって座っていない経験を設計することです。むしろ、データが安全に移動し、信頼できる環境内に留まり、必要な限りの期間だけ存在する経験です」とUJETのジョンソン氏は言います。「結局のところ、セキュリティは経験の機能ではありません。それは経験を信頼できるものにするものです。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/hims-breach-exposes-sensitive-phi
