Hims & Hers : une violation de données expose des informations clients sensibles via une plateforme tierce
Le fournisseur de télésanté **Hims & Hers Health** (Hims) a récemment subi une violation de données résultant d'une vulnérabilité dans sa plateforme tierce de support client. L'incident a exposé des informations personnelles de santé (PHI) sensibles, exposant potentiellement les clients à des risques de chantage et à d'autres conséquences graves.
## Détails de la violation
La violation, initialement détectée le 5 février, a impliqué un accès non autorisé aux tickets de support client entre le 4 et le 7 février. **Hims** a informé le bureau du procureur général du Vermont, déclarant que les tickets compromis contenaient les noms et les informations médicales des clients concernés. Des adresses e-mail auraient également été impactées.
L'entreprise a mis un mois pour déterminer l'étendue de la violation et un autre mois pour commencer à informer les clients concernés. La plateforme de support tierce spécifique impliquée n'a pas été divulguée.
## ShinyHunters revendique la responsabilité
Le tristement célèbre groupe **ShinyHunters** aurait revendiqué la responsabilité de l'attaque, selon un rapport de BleepingComputer. Cependant, cette affirmation reste invérifiée.
## La confiance des clients érodée
"Ce n'est pas seulement une violation de données – c'est une rupture dans la relation client", déclare Baker Johnson, directeur des affaires commerciales chez **UJET**. "Quand quelqu'un demande de l'aide, surtout dans le domaine de la santé, c'est un moment de confiance. Ils ont demandé de l'aide et ont plutôt vu leur confiance compromise. Cela change la façon dont ils interagissent – et une fois que cette hésitation s'installe, la fidélité est déjà compromise."
## Risque de chantage
**Hims** est spécialisé dans le traitement de problèmes médicaux sensibles tels que la dysfonction érectile, la calvitie et la santé mentale, ciblant souvent une démographie plus jeune. L'exposition de ce type de PHI fait planer la menace du chantage, dépassant les risques typiques associés aux fuites générales de PHI.
Bien qu'il n'y ait aucune preuve que **ShinyHunters** ou tout autre groupe ait divulgué les données volées de **Hims**, le groupe a un historique de le faire lorsque les victimes refusent de payer les demandes d'extorsion.
## Sécuriser les plateformes de service client
Johnson de **UJET** souligne la nécessité d'une approche plus sécurisée pour la gestion des données de service client : "La voie à suivre consiste à concevoir des expériences où les données ne sont pas dispersées dans différents systèmes en premier lieu, mais où elles circulent en toute sécurité, restent dans des environnements de confiance et n'existent que tant qu'elles sont nécessaires... Parce qu'en fin de compte, la sécurité n'est pas une fonctionnalité de l'expérience. C'est ce qui rend l'expérience digne de confiance."