Hims & Hers, la société de télésanté qui vend des médicaments amaigrissants et des prescriptions de santé sexuelle, a confirmé une violation de données affectant sa plateforme de service client tierce.
La société de soins de santé a déclaré jeudi dans un avis de violation de données déposé auprès du bureau du procureur général de Californie que les pirates avaient volé des données sur les demandes des utilisateurs envoyées à l’équipe de support client de la société. La société a déclaré que des pirates informatiques avaient pénétré par effraction dans son système de tickets tiers entre le 4 et le 7 février et volé des tonnes de tickets d’assistance, qui contenaient des informations personnelles soumises par les clients.
L’avis de violation de données indique que les pirates ont pris les noms et coordonnées des clients, ainsi que d’autres données personnelles non précisées que Hims & Hers a laissées expurgées dans la lettre.
Bien que l’entreprise affirme que les dossiers médicaux des clients n’ont pas été affectés par la violation, la nature des systèmes de support client signifie que les données peuvent contenir des informations sensibles sur le compte, les informations personnelles et les soins de santé d’une personne.
On ne sait pas encore combien de personnes ont vu leurs informations personnelles compromises lors du piratage. En vertu de la loi californienne, les entreprises sont tenues de divulguer les violations de données impliquant 500 résidents ou plus de l’État.
Jake Martin, porte-parole de Hims & Hers, a déclaré à TechCrunch dans un communiqué que l’entreprise avait été touchée par une attaque d’ingénierie sociale, dans laquelle des pirates informatiques trompaient les employés pour qu’ils accordent l’accès à leurs systèmes. Le porte-parole a déclaré que les données volées « comprenaient principalement les noms et adresses e-mail des clients ». La société n’a pas précisé quels types spécifiques de données ont été collectés, lorsque TechCrunch lui a demandé.
L’entreprise ne dira pas si elle a reçu des communications des pirates, comme une demande d’argent.
Ces derniers mois, les systèmes de support client et de tickets sont devenus des cibles privilégiées pour les pirates informatiques motivés par l’argent, qui ont pillé les bases de données contenant des informations sur les clients et ont extorqué les entreprises pour qu’elles paient une rançon.
L’année dernière, Discord a subi une violation de données qui a affecté son système de tickets d’assistance gouvernementale et a révélé les pièces d’identité émises par environ 70 000 personnes qui avaient soumis leur permis de conduire et leur passeport à l’entreprise pour vérifier leur âge.

