Hims & Hers xác nhận hệ thống hỗ trợ khách hàng bị tấn công, lộ dữ liệu người dùng
Tập đoàn y tế từ xa Hims & Hers vừa xác nhận một sự cố mất an toàn thông tin ảnh hưởng đến nền tảng dịch vụ khách hàng bên thứ ba. Các tin tặc đã sử dụng kỹ thuật xã hội để truy cập và đánh cắp dữ liệu từ hàng loạt vé hỗ trợ trong vài ngày vào tháng 2.
Hims & Hers, công ty chuyên về y tế từ xa (telehealth) cung cấp các loại thuốc giảm cân và đơn thuốc sức khỏe tình dục, đã xác nhận một vụ rò rỉ dữ liệu nghiêm trọng liên quan đến nền tảng dịch vụ khách hàng bên thứ ba.
Trong thông báo về sự cố mất an toàn thông tin được gửi đến văn phòng Tổng chưởng lý bang California vào thứ Năm, công ty này cho biết tin tặc đã đánh cắp dữ liệu liên quan đến các yêu cầu hỗ trợ mà người dùng gửi cho đội ngũ chăm sóc khách hàng. Hacker đã xâm nhập vào hệ thống vé (ticketing system) của bên thứ ba từ ngày 4 đến ngày 7 tháng 2 và lấy đi một lượng lớn vé hỗ trợ, trong đó chứa thông tin cá nhân mà khách hàng đã gửi đi.
Chi tiết về dữ liệu bị lộ
Thông báo cho biết những kẻ tấn công đã lấy được tên khách hàng, thông tin liên hệ cũng như các dữ liệu cá nhân khác chưa được làm rõ chi tiết (một phần nội dung đã bị Hims & Hers che đi trong thư).
Mặc dù công ty khẳng định hồ sơ y tế của khách hàng không bị ảnh hưởng trực tiếp bởi vụ tấn công này, nhưng do đặc thù của hệ thống hỗ trợ khách hàng, dữ liệu bị lộ có khả năng vẫn chứa các thông tin nhạy cảm về tài khoản, thông tin cá nhân và tình trạng sức khỏe của người dùng.
Thủ đoạn tấn công
Hiện tại vẫn chưa rõ chính xác bao nhiêu cá nhân bị ảnh hưởng trong vụ việc này. Theo luật pháp bang California, các công ty bắt buộc phải công bố các vụ rò rỉ dữ liệu ảnh hưởng đến 500 cư dân trở lên.
Jake Martin, người phát ngôn của Hims & Hers, chia sẻ với TechCrunch rằng công ty đã trở thành nạn nhân của một cuộc tấn công kỹ thuật xã hội (social engineering). Trong đó, hacker đã lừa đảo nhân viên để họ cấp quyền truy cập vào hệ thống. Người phát ngôn cho biết dữ liệu bị đánh cắp "chủ yếu bao gồm tên và địa chỉ email của khách hàng". Tuy nhiên, khi được TechCrunch hỏi cụ thể về các loại dữ liệu khác, công ty từ chối cung cấp thêm chi tiết.
Xu hướng tấn công mới
Công ty cũng không xác nhận liệu họ có nhận được bất kỳ liên lạc nào từ tin tặc, chẳng hạn như yêu cầu đòi tiền chuộc hay không.
Trong những tháng gần đây, các hệ thống hỗ trợ khách hàng và quản lý vé đang trở thành "mỏ vàng" đối với các tin tặc vì động cơ tài chính. Chúng thường đột nhập vào các cơ sở dữ liệu chứa thông tin khách hàng nhằm tống tiền các công ty chi trả tiền chuộc.
Vào năm ngoái, Discord cũng từng gặp sự cố rò rỉ dữ liệu ảnh hưởng đến hệ thống vé hỗ trợ của họ, làm lộ giấy tờ tùy thân do chính quyền cấp của khoảng 70.000 người, những người đã gửi giấy phép lái xe và hộ chiếu để xác minh độ tuổi.
