Hims & Hers, kilo kaybı ilaçları ve cinsel sağlık reçeteleri satan tele sağlık şirketi, üçüncü taraf müşteri hizmetleri platformunu etkileyen bir veri ihlali yaşandığını doğruladı.
Şirket, California eyalet savcılığına yaptığı veri ihlali bildirisinde, siber saldırganların müşteri destek ekibine gönderilen kullanıcı taleplerine dair verileri çaldığını belirtti. Hims & Hers, saldırganların 4 Şubat ile 7 Şubat tarihleri arasında üçüncü taraf biletleme sistemine girdiklerini ve destek taleplerini içeren birçok belgeyi çaldıklarını açıkladı. Bu belgelerde müşterilerin gönderdiği kişisel bilgiler yer alıyordu.
Veri ihlali bildirisinde, saldırganların müşteri isimlerini ve iletişim bilgilerini, ayrıca Hims & Hers tarafından belgede belirtilmemiş diğer kişisel verileri aldıkları ifade edildi.
Şirket, müşteri tıbbi kayıtlarının ihlalde etkilenmediğini söylese de, müşteri destek sistemlerinin doğası gereği verilerin, bir kişinin hesabına, kişisel bilgilerine ve sağlık hizmetlerine dair hassas bilgileri içerebileceği vurgulandı.
Saldırıda kaç bireyin kişisel bilgilerinin tehlikeye girdiği henüz bilinmiyor. California yasalarına göre, şirketlerin 500 veya daha fazla eyalet sakini ile ilgili veri ihlallerini bildirmesi gerekmektedir.
Hims & Hers’in sözcüsü Jake Martin, TechCrunch’a yaptığı açıklamada, şirketin çalışanlarını sistemlerine erişim vermeye ikna eden bir sosyal mühendislik saldırısına maruz kaldığını belirtti. Sözcü, çalınan verilerin “öncelikle müşteri isimleri ve e-posta adreslerini” içerdiğini söyledi. TechCrunch’ın sorduğunda, şirket belirli veri türlerini açıklamadı.
Şirket, saldırganlardan herhangi bir iletişim alıp almadığını, örneğin fidye talebi gibi, söylemedi.
Son aylarda, müşteri destek ve biletleme sistemleri, müşteri bilgilerini içeren veritabanlarını hedef alan maddi kazanç amacı güden hackerlar için cazip hale geldi. Bu tür saldırganlar, şirketleri fidye ödemeye zorlamak için verileri çalmaktadır.
Geçen yıl, Discord’un müşteri destek biletleme sisteminde bir veri ihlali yaşandı; bu olay, yaş doğrulaması için şirkete sürücü belgeleri ve pasaportları gönderen yaklaşık 70,000 kişinin devlet tarafından verilen kimliklerinin ifşasına yol açtı.
Dünyadaki veri ihlalleriyle ilgili düşündüğünüzde, hangi önlemlerin alınması gerektiğini düşünüyorsunuz?
