Hils & Hers, das US-Telemedizinunternehmen, das Abo-Behandlungen für Probleme wie Haarausfall, erektile Dysfunktion, psychische Gesundheit und Hautpflege anbietet, hat bestätigt, dass es ein Datenleck von einer Drittanbieter-Kundenpflegeplattform erlitt. Das Unternehmen erkannte Anfang Februar verdächtige Aktivität und kam nach der Untersuchung zu dem Schluss, dass einige Support-Tickets ohne Genehmigung zugegriffen wurden; die Mitteilung an die kalifornischen Behörden findet sich in dem offiziellen Dokument des Generalstaatsanwalts: Mitteilung an Behörden in Kalifornien.
Hils & Hers ist jetzt eine der bekanntesten Marken im Online-Apotheke- und Telemedizin-Dienstleistungsmarkt in den USA, mit einer starken kommerziellen Präsenz und einem Einkommen, das sich der Ordnung von Hunderten von Millionen pro Jahr nähert. Das Problem war nicht die medizinische Grundlage oder die Kommunikation mit den Ärzten: nach dem Unternehmen, keine medizinischen Dateien oder klinischen Nachrichten begangen. Was ausgesetzt war, waren Support-Anfragen - Tickets - die in einigen Fällen personenbezogene Daten wie Namen und Kontaktformulare oder die Informationen, die jeder Kunde bei der Suche nach Hilfe zu befestigen entschied.
Der Kalender, den das Unternehmen selbst verwaltet, stellt die unbefugte Tätigkeit zwischen dem 4. und 7. Februar, mit dem Nachweis der Anomalie am 5. Februar und dem Abschluss der internen Untersuchung am 3. März. Als Antwortmaßnahme hat Hams & Hers 12 Monate Kreditüberwachung für die betroffenen Personen angeboten und hat empfohlen, dass Vorsicht angesichts unerwarteter Kommunikationen sowie Überprüfung von Kreditauszügen und Berichten auf der Suche nach unregelmäßigen Bewegungen ausgeübt wird.
Die ersten Berichte über die journalistische Forschung zeigen, dass der Vorfall Teil einer breiteren Kampagne sein würde, in der schädliche Akteure SSO-Konten (Einzel-Anmelden) genutzt haben, um auf Cloud-Kundenpflege-Instanzen zuzugreifen und große Tickets zu extrahieren. Ein Cyberkriminalitätsschauspieler, der mit ähnlichen Lecks zusammenhängt, ist die Gruppe namens ShinyHunters; spezialisierte Medien berichten über diesen Link und den gesamten Modus Operandi der Kampagne. Zur technischen Erfassung solcher Angriffe konsultieren Sie bitte die Fachpresse, zum Beispiel BlepingComputer.
Der in mehreren Fällen gemeldete Vektor war der Missbrauch von SSO-Konten von Lieferanten wie Okta, um Kundenpflege-Tools wie Zendesk einzugeben und Support-Tickets herunterzuladen. Diese Dienste sind zu kritischen Kunden-Unternehmen Kommunikationseinlagen geworden und aus diesem Grund hat ihr Engagement Multiplikatoreffekt: eine Lücke in einem Lieferanten kann zu Massenlecks für Dutzende von Kundenunternehmen führen. Zendesk informiert über die Sicherheit und den Status seiner Dienstleistungen auf seinem Transparenzportal, was für Kunden nützlich ist, die Auswirkungen und Best Practices verstehen wollen: Zendesk Trust. Es wird auch empfohlen, die öffentlichen Kommunikations- und Sicherheitstools von Identitätsanbietern wie Okta zu überprüfen: Okta Trust.
Aus Sicht des betroffenen Benutzers kommt das unmittelbarste Risiko nicht so sehr aus der klinischen Exposition wie aus der Möglichkeit gezielter Social Engineering-, Supplanting- und Betrugsangriffe. Wenn Angreifer Namen, E-Mails oder Telefonnummern erhalten, können sie überzeugende Nachrichten erstellen, die von dem Unternehmen oder Finanzinstituten kommen, um sensible Daten zu erhalten oder Zahlungen zu induzieren. Daher ist die Grundempfehlung nicht auf unerwartete Anfragen zu reagieren, die Authentizität der Kanäle zu überprüfen und keine zusätzlichen Informationen per Post oder Telefon zu liefern, ohne die Identität des Gesprächspartners zu bestätigen.. Zur praktischen Anleitung zur Reaktion auf einen möglichen Identitätsdiebstahl sollten die Mittel der Federal Trade Commission (FTC) zum Schutz vor Identitätsdiebstahl konsultiert werden: FTC Leitfaden.
Dieser Vorfall unterstreicht erneut ein wiederkehrendes Problem in der Cybersicherheit: Der Risikobereich erstreckt sich über die eigene Infrastruktur eines Unternehmens hinaus. Die Kette der Lieferanten - Identität und Zugang, Cloud-Speicher, Pflegeplattformen - ist so stark wie ihre schwächste Verbindung. Sicherheitsausrüstung sollte strenge Zugangskontrollen, Multi-Faktor-Authentifizierungsrichtlinien, regelmäßige Genehmigungsüberprüfungen und Segmentierung sensibler Daten auf Plattformen Dritter erfordern. Auf politischer und operativer Ebene sollten Organisationen auch Drittanbieter-Risikomanagement-Praktiken und Reaktionsprotokolle einbeziehen, die eine klare und schnelle Kommunikation für Nutzer und Behörden ermöglichen.
Während alle Details geklärt sind - Hams & Hers hat begrenzte öffentliche Informationen über die Gesamtzahl der betroffenen Kunden und externen Forscher weiterhin Beweise sammeln - es ist sinnvoll, aus anderen jüngsten Zwischenfällen zu lernen, in denen Support-Plattformen der Filtrationsvektor gewesen sind. Diese Fälle dienen als Erinnerung daran, dass kein Unternehmen, das personenbezogene Daten verarbeitet, vollständig vom Risiko einer Abhängigkeit von externen Dienstleistungen isoliert wird.
Das Gespräch über den Schutz von Daten im Telemedizin-Zeitalter kann nicht auf die Sicherstellung medizinischer Aufzeichnungen beschränkt werden: Es muss auch die Art und Weise, wie Patienten Kontakt aufnehmen, bezahlen oder Hilfe suchen. Mehr Transparenz über den Umfang von Lücken, unabhängige Anbieter-Audits und eine Sicherheitskultur, die die Zugriffskontrolle und Früherkennung priorisiert, sind wesentliche Maßnahmen die Wahrscheinlichkeit von Vorkommnissen wie diesem zu reduzieren. Für weitere institutionellen Informationen über Supply-Chain-Bedrohungen und Risiken Dritter bietet die US-Agentur CISA Ressourcen und allgemeine Empfehlungen: CISA.
Wenn Sie ein Hils & Hers-Client sind und Benachrichtigung erhalten haben, folgen Sie den Anweisungen, die an Sie gesendet wurden, akzeptieren Sie die Kreditüberwachung, wenn verfügbar und halten Sie Ihre Wache hoch im Angesicht der Suplantationsversuche. Wenn Sie noch nicht kontaktiert worden sind, aber ein neuer Kunde sind, ist es angebracht, Ihre Kommunikation mit dem Unternehmen und jedes alte Ticket zu überprüfen, das sensible Informationen enthalten könnte; im Zweifelsfall fragen Sie das Unternehmen nach Details über die Art der vorgelegten Daten und die Mittel, die es anwendet.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
Mini Shai-Hulud: der Angriff, der die Abhängigkeiten in Massenintrusionsvektoren verwandelte
Zusammenfassung des Vorfalls: GitHub untersucht unbefugten Zugriff auf interne Repositories, nachdem der als TeamPCP bekannte Schauspieler den angeblichen Quellcode und interne ...
Fox Temper präsentiert die Fragilität der digitalen Signatur in der Cloud
Microsofts Offenlegung der Operation von "Malware-signing-as-a-Service" bekannt als Fox Temper ersetzt im Zentrum die kritische Schwachstelle des modernen Software-Ökosystems: Z...
Trapdoor: der Maldumping-Betrieb, der Android-Apps in eine automatische illegale Einkommensfabrik verwandelte
Cybersecurity-Forscher haben eine Operation von Maldumping und mobile Werbebetrug als benannt entdeckt Traptüre, die legitime Android-Anwendungseinrichtungen in eine automatisch...
Von der Warnung bis zur Orchestrierung und IA-Aktion zur Beschleunigung der Reaktion auf Netzvorfälle
IT- und Sicherheitsteams leben eine bekannte Realität: eine ständige Flut von Alarmen von Überwachungsplattformen, Infrastruktursystemen, Identitätsdiensten, Ticketing-Tools und...
Nx Console in check: Wie eine Produktivitätserweiterung zu einem Anmelde-Diebstahl und einer Bedrohung für die Lieferkette wurde
Ein an Entwickler gerichteter Angriff zeigte erneut die Fragilität der Software-Versorgungskette: Die Nx Console-Erweiterung für Editoren wie Visual Studio Code, mit mehr als 2,...