Hims & Hers, a empresa americana de telemedicina que oferece tratamentos por assinatura para problemas como perda de cabelo, disfunção erétil, saúde mental e cuidado da pele, confirmou que sofreu uma filtração de dados originada em uma plataforma de atendimento ao cliente de um terceiro. A empresa detectou atividade suspeita no início de fevereiro e, após investigar, concluiu que alguns tickets de suporte haviam sido acessados sem autorização; o aviso apresentado às autoridades da Califórnia pode ser consultado no documento oficial publicado pelo procurador-geral do Estado: Notificação às autoridades na Califórnia.
Hims & Hers é hoje uma das marcas mais conhecidas no mercado de farmácia online e serviços de telemedicina nos Estados Unidos, com uma forte presença comercial e receitas que se aproximam da ordem das centenas de milhões anuais. O problema não foi a base médica nem as comunicações com os médicos: segundo a empresa, Não foram autorizados registos médicos nem mensagens clínicas. O que foi exposto foram pedidos de suporte (tickets) que, em alguns casos, continham dados pessoais como nomes e formas de contato ou as informações que cada cliente decidiu anexar ao pedido de ajuda.
O calendário que a própria assinatura gere situa a actividade não autorizada entre 4 e 7 de Fevereiro, com a detecção da anomalia em 5 de Fevereiro e a conclusão da investigação interna em 3 de Março. Como medida de resposta, Hims & Hers ofereceu 12 meses de monitoramento de crédito às pessoas afetadas e recomendou extremar a precaução em comunicações inesperadas, além de rever extratos e relatórios de crédito em busca de movimentos irregulares.
Os primeiros relatos de pesquisa jornalística indicam que o incidente faria parte de uma campanha mais ampla em que atores maliciosos exploraram contas SSO (início de sessão única) para acessar instâncias de atendimento ao cliente na nuvem e extrair grandes volumes de tickets. Um ator da cena do cibercrime que se relaciona com vazamentos similares é o grupo conhecido como ShinyHunters; meios especializados estão informando sobre essa vinculação e o modus operandi geral da campanha. Para acompanhar a cobertura técnica deste tipo de ataques, consultar a imprensa especializada, por exemplo BleepingComputer.
O vetor relatado em vários casos foi o abuso de contas SSO de fornecedores como Okta para entrar em ferramentas de atendimento ao cliente como Zendesk e baixar support tickets. Esses serviços tornaram-se depósitos críticos de comunicação cliente-empresa e, por essa razão, seu compromisso tem efeito multiplicador: uma lacuna em um fornecedor pode traduzir-se em vazamentos em massa para dezenas de empresas clientes. O Zendesk mantém informações sobre segurança e estado de seus serviços em seu portal de transparência, que é útil para clientes que querem entender incidências e práticas recomendadas: Zendesk Trust. Também é recomendável rever a comunicação e ferramentas de segurança públicas de fornecedores de identidade como Okta: Okta Trust.
Do ponto de vista do utilizador em causa, o risco mais imediato não provém tanto de uma exposição clínica como da possibilidade de ataques de engenharia social, suplantação e fraude dirigidos. Quando os atacantes obtêm nomes, e-mails ou números de telefone, podem criar mensagens convincentes que aparentem vir da empresa ou de entidades financeiras, a fim de obter dados sensíveis ou induzir pagamentos. Por isso a recomendação básica é não responder a pedidos inesperados, verificar a autenticidade dos canais e não fornecer informações adicionais por correio ou telefone sem confirmar a identidade do interlocutor. Para orientação prática sobre como reagir a um possível roubo de identidade, os recursos da Comissão Federal do Comércio (FTC) devem ser consultados sobre a protecção contra o roubo de identidade: Guia da FTC.
Este incidente destaca um problema recorrente em cibersegurança: a superfície de risco se estende além das próprias infra-estruturas de uma empresa. A cadeia de fornecedores — identidade e acesso, armazenamento na nuvem, plataformas de atenção — é tão forte quanto o seu elo mais fraco. Os equipamentos de segurança devem exigir controlos de acesso estritos, políticas de autenticação multifator, revisões periódicas de permissões e segmentação de dados sensíveis em plataformas de terceiros. A nível político e operacional, as organizações também devem incorporar práticas de gestão de risco de terceiros e protocolos de resposta que contemplem a comunicação clara e rápida a usuários e autoridades.
Enquanto todos os detalhes são esclarecidos, o Hims & Hers limitou informações públicas sobre o número total de clientes afetados e os pesquisadores externos continuam coletando evidências, é razoável aprender com outros incidentes recentes em que plataformas de suporte foram o vetor de filtragem. Esses casos servem como lembrete de que nenhuma empresa que maneje dados pessoais está completamente isolada do risco que envolve depender de serviços externos.
A conversa sobre como proteger dados na era da telemedicina não pode ser limitada a garantir os processos médicos: também deve abranger as vias pelas quais os pacientes contactam, pagam ou solicitam ajuda. Mais transparência sobre o alcance das lacunas, auditorias independentes de fornecedores e uma cultura de segurança que priorize o controlo de acessos e a detecção precoce são medidas indispensáveis Para reduzir a probabilidade de ocorrências como este se repetirem. Para mais informações institucionais sobre ameaças em cadeia de fornecimento e riscos de terceiros, a agência norte-americana CISA oferece recursos e recomendações gerais: CISA.
Se você é cliente do Hims & Hers e tiver recebido notificação, siga as instruções que lhe foram enviadas, aceita a monitorização de crédito se estiver disponível e mantenha a guarda alta contra tentativas de suplantação. Se você ainda não tiver contatado, mas você é um cliente recente, convém rever suas comunicações com a empresa e qualquer bilhete antigo que possa conter informações sensíveis; em caso de dúvida, solicita à empresa detalhes sobre a natureza dos dados expostos e as medidas de remediação que está aplicando.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Mini Shai-Hulud: o ataque que transformou as dependências em vetores de intrusão maciça
Resumo do incidente: O GitHub investiga acesso não autorizado a repositórios internos depois de o ator conhecido como TeamPCP ter colocado a venda em um fórum criminoso o supost...
Fox Tempest expõe a fragilidade da assinatura digital na nuvem
A revelação da Microsoft sobre a operação de "malware-signing-as-a-service" conhecida como Fox Tempest volta a colocar no centro a vulnerabilidade mais crítica do ecossistema de...
Trapdoor: a operação de malvertising que transformou apps Android em uma fábrica automática de receitas ilegais
Pesquisadores de cibersegurança descobriram uma operação de malvertising e fraude publicitária móvel batizada como Trapdoor, que converte instalações legítimas de aplicações And...
Do aviso à ação orquestração e IA para acelerar a resposta a incidentes de rede
As equipes de TI e de segurança vivem uma realidade conhecida: um aluvião constante de alertas que chega desde plataformas de monitoramento, sistemas de infraestrutura, serviços...
Nx Console em jaque: como uma extensão de produtividade se tornou um roubo de credenciais e uma ameaça para a cadeia de abastecimento
Um ataque dirigido a desenvolvedores voltou a evidenciar a fragilidade da cadeia de fornecimento do software: a extensão Nx Console para editores como Visual Studio Code, com ma...