Hils & Hers, la société américaine de télémédecine qui offre des traitements d'abonnement pour des problèmes tels que la perte de cheveux, la dysfonction érectile, la santé mentale et les soins de la peau, a confirmé qu'il a subi une fuite de données d'une plate-forme de soins à la clientèle tierce. La société a détecté des activités suspectes au début de février et, après enquête, a conclu que certains billets d'appui avaient été obtenus sans autorisation.; l'avis envoyé aux autorités californiennes se trouve dans le document officiel publié par le procureur général de l'État: Notification aux autorités en Californie.
Hils & Hers est maintenant l'une des marques les plus connues sur le marché des services de pharmacie et de télémédecine en ligne aux États-Unis, avec une forte présence commerciale et des revenus qui approche de l'ordre de centaines de millions par an. Le problème n'était pas la base médicale ni les communications avec les médecins: selon l'entreprise, aucun dossier médical ou message clinique. Ce qui a été exposé étaient les demandes de soutien - billets - qui, dans certains cas, contenaient des données personnelles telles que les noms et les formes de contact ou les informations que chaque client a décidé de joindre lors de la demande d'aide.
Le calendrier que l'entreprise gère elle-même place l'activité non autorisée entre le 4 et le 7 février, avec la détection de l'anomalie le 5 février et la conclusion de l'enquête interne le 3 mars. En réponse, Hams & Hers a offert 12 mois de surveillance du crédit aux personnes touchées et a recommandé que la prudence soit exercée face aux communications inattendues, ainsi que l'examen des extraits de crédit et des rapports à la recherche de mouvements irréguliers.
Les premiers rapports de recherches journalistiques indiquent que l'incident s'inscrirait dans une campagne plus vaste dans laquelle des acteurs malveillants ont exploité des comptes SSO (seul login) pour accéder aux instances de service client cloud et extraire de grands volumes de billets. Un acteur de la scène de la cybercriminalité qui a été lié à des fuites similaires est le groupe connu sous le nom de ShinyHunters; les médias spécialisés font rapport sur ce lien et le modus operandi global de la campagne. Pour la couverture technique de ces attaques, veuillez consulter la presse spécialisée, par exemple Calculateur.
Le vecteur signalé dans plusieurs cas a été l'abus de comptes SSO de fournisseurs comme Okta pour entrer des outils de service à la clientèle comme Zendesk et télécharger des tickets d'assistance. Ces services sont devenus des dépôts critiques de communication client-entreprise et, pour cette raison, leur engagement a un effet multiplicateur: une lacune dans un fournisseur peut entraîner des fuites massives pour des dizaines d'entreprises clientes. Zendesk maintient des informations sur la sécurité et l'état de ses services sur son portail de transparence, qui est utile pour les clients qui veulent comprendre les impacts et les meilleures pratiques: Zendesk Trust. Il est également recommandé d'examiner les outils de communication et de sécurité du public des fournisseurs d'identité comme Okta: Okta Trust.
Du point de vue de l'utilisateur touché, le risque le plus immédiat ne provient pas autant de l'exposition clinique que de la possibilité d'ingénierie sociale ciblée, de remplacement et d'attaques frauduleuses. Lorsque les attaquants obtiennent des noms, des courriels ou des numéros de téléphone, ils peuvent créer des messages convaincants qui semblent provenir de l'entreprise ou des institutions financières, afin d'obtenir des données sensibles ou d'induire des paiements. C'est pourquoi la recommandation fondamentale n'est pas de répondre à des demandes inattendues, de vérifier l'authenticité des canaux et de ne pas fournir d'informations supplémentaires par courrier ou par téléphone sans confirmer l'identité de l'interlocuteur.. Pour obtenir des conseils pratiques sur la façon de réagir face à un éventuel vol d'identité, il convient de consulter les ressources de la Commission fédérale du commerce (FTC) sur la protection contre le vol d'identité: FTC Guide.
Cet incident met encore une fois en évidence un problème récurrent de cybersécurité : la zone de risque s'étend au-delà de la propre infrastructure d'une entreprise. La chaîne de fournisseurs - identité et accès, stockage en nuage, plateformes de soins - est aussi forte que son maillon le plus faible. L'équipement de sécurité devrait nécessiter des contrôles d'accès stricts, des politiques d'authentification multifacteurs, des examens périodiques des permis et la segmentation des données sensibles sur des plateformes tierces. Au niveau politique et opérationnel, les organisations devraient également intégrer des pratiques de gestion des risques par des tiers et des protocoles d'intervention qui permettent une communication claire et rapide aux utilisateurs et aux autorités.
Bien que tous les détails soient clarifiés - Hams & Hers a limité l'information publique sur le nombre total de clients touchés et des chercheurs externes continuent de recueillir des preuves - il est raisonnable d'apprendre d'autres incidents récents dans lesquels les plates-formes de soutien ont été le vecteur de filtration. Ces cas rappellent qu'aucune entreprise qui traite des données personnelles n'est complètement isolée du risque de recourir à des services externes.
La conversation sur la façon de protéger les données à l'âge de la télémédecine ne peut se limiter à assurer les dossiers médicaux : elle doit également couvrir la façon dont les patients contactent, paient ou cherchent de l'aide. Une plus grande transparence sur l'étendue des lacunes, des audits indépendants des fournisseurs et une culture de sécurité qui privilégie le contrôle de l'accès et la détection précoce sont des mesures essentielles réduire la probabilité que de tels incidents se reproduisent. Pour plus d'informations institutionnelles sur les menaces de la chaîne d'approvisionnement et les risques de tiers, l'agence américaine CISA offre des ressources et des recommandations générales: CISA.
Si vous êtes un client Hils & Hers et que vous avez reçu une notification, suivez les instructions qui vous ont été envoyées, acceptez la surveillance de crédit si disponible et gardez votre garde haute face aux tentatives de suplantation. Si vous n'avez pas encore été contacté mais que vous êtes un client récent, il est approprié de revoir vos communications avec l'entreprise et tout ancien billet qui pourrait contenir des informations sensibles; en cas de doute, demandez à l'entreprise des détails sur la nature des données présentées et les remèdes qu'elle applique.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
Mini Shai-Hulud : l'attaque qui a transformé les dépendances en vecteurs d'intrusion de masse
Résumé de l'incident : GitHub enquête sur l'accès non autorisé aux dépôts internes après que l'acteur connu sous le nom de TeamPCP ait mis le code source présumé et les organisa...
Fox Temper expose la fragilité de la signature numérique dans le cloud
La divulgation par Microsoft du fonctionnement de "malware-signing-as-a-service" connu comme Fox Temper remplace au centre la vulnérabilité la plus critique de l'écosystème logi...
Trapdoor: l'opération anti-dumping qui a transformé les applications Android en une usine automatique de revenus illicites
Les chercheurs en cybersécurité ont découvert une opération de fraude au dumping et à la publicité mobile Piège, qui transforme les installations d'application Android légitimes...
De l'avertissement à l'orchestration et à l'action de l'AI pour accélérer la réponse aux incidents de réseau
Les équipes informatiques et de sécurité vivent une réalité bien connue : un flot constant d'alertes des plateformes de surveillance, des systèmes d'infrastructure, des services...
Nx Console in check: comment une extension de productivité est devenue un vol d'identité et une menace pour la chaîne d'approvisionnement
Une attaque dirigée contre les développeurs a de nouveau révélé la fragilité de la chaîne d'approvisionnement du logiciel : l'extension Nx Console pour les éditeurs tels que Vis...