Datenschutzverletzung bei Hims & Hers legt sensible Kundendaten über Drittplattform offen
Der Telemedizinanbieter **Hims & Hers Health** (Hims) war kürzlich von einer Datenschutzverletzung betroffen, die auf eine Schwachstelle in seiner externen Kundensupport-Plattform zurückzuführen ist. Der Vorfall legte sensible persönliche Gesundheitsinformationen (PHI) offen und setzte Kunden potenziell Erpressung und anderen schwerwiegenden Folgen aus.
## Details der Datenschutzverletzung
Die am 5. Februar entdeckte Verletzung umfasste den unbefugten Zugriff auf Kundensupport-Tickets zwischen dem 4. und 7. Februar. **Hims** informierte das Generalstaatsanwaltsbüro von Vermont über den Vorfall und gab an, dass die kompromittierten Tickets Namen und medizinische Informationen betroffener Kunden enthielten. Berichten zufolge waren auch E-Mail-Adressen betroffen.
Das Unternehmen benötigte einen Monat, um den Umfang der Verletzung zu ermitteln, und weitere zwei Monate, um die betroffenen Kunden zu benachrichtigen. Die spezifische externe Support-Plattform, die involviert war, wurde nicht bekannt gegeben.
## ShinyHunters-Anspruch
Die berüchtigte Gruppe **ShinyHunters** behauptete laut einem Bericht von BleepingComputer angeblich, für den Angriff verantwortlich zu sein. Dieser Anspruch bleibt jedoch unbestätigt.
## Kundenvertrauen erschüttert
"Dies ist nicht nur eine Datenschutzverletzung – es ist ein Bruch der Kundenbeziehung", sagt Baker Johnson, Chief Business Officer bei **UJET**. "Wenn sich jemand an den Kundendienst wendet, insbesondere im Gesundheitswesen, ist das ein Moment des Vertrauens. Sie haben um Hilfe gebeten und stattdessen wurde ihr Vertrauen kompromittiert. Das verändert, wie sie interagieren – und sobald diese Zögerung einsetzt, ist die Loyalität bereits gefährdet."
## Risiko der Erpressung
**Hims** ist auf die Behandlung sensibler medizinischer Probleme wie erektile Dysfunktion, Haarausfall und psychische Gesundheit spezialisiert und richtet sich oft an ein jüngeres Publikum. Die Offenlegung dieser Art von PHI birgt die Gefahr der Erpressung, die über die üblichen Risiken bei allgemeinen PHI-Leaks hinausgeht.
Obwohl es keine Beweise dafür gibt, dass **ShinyHunters** oder eine andere Gruppe die gestohlenen **Hims**-Daten geleakt hat, hat die Gruppe in der Vergangenheit dies getan, wenn Opfer sich weigerten, Lösegeldforderungen nachzukommen.
## Absicherung von Kundenservice-Plattformen
Johnson von **UJET** betont die Notwendigkeit eines sichereren Ansatzes für die Verwaltung von Kundenservice-Daten: "Der Weg nach vorn besteht darin, Erfahrungen so zu gestalten, dass Daten von vornherein nicht verstreut in Systemen liegen, sondern sich sicher bewegen, in vertrauenswürdigen Umgebungen bleiben und nur so lange existieren, wie sie benötigt werden... Denn letztendlich ist Sicherheit keine Funktion der Erfahrung. Sie ist das, was die Erfahrung vertrauenswürdig macht."