Hims & Hers, het telezorgbedrijf dat medicijnen voor gewichtsverlies en recepten voor seksuele gezondheid verkoopt, heeft een datalek bevestigd dat gevolgen heeft voor zijn externe klantenserviceplatform.
Het gezondheidsbedrijf zei in een melding van datalekken donderdag ingediend bij het kantoor van de procureur-generaal van Californië dat de hackers gegevens hebben gestolen over gebruikersverzoeken die naar het klantenondersteuningsteam van het bedrijf zijn gestuurd. Het bedrijf zei dat hackers tussen 4 en 7 februari inbraken in het ticketverkoopsysteem van derden en veel ondersteuningstickets stalen, die persoonlijke informatie bevatten die door klanten was ingediend.
In de melding van een datalek stond dat de hackers klantnamen en contactgegevens hadden gestolen, evenals andere niet-gespecificeerde persoonlijke gegevens die Hims & Hers in de brief hadden achtergelaten.
Hoewel het bedrijf zegt dat klantgegevens niet zijn getroffen door de inbreuk, betekent de aard van de klantondersteuningssystemen dat de gegevens gevoelige informatie kunnen bevatten over iemands account, persoonlijke informatie en gezondheidszorg.
Het is nog niet bekend bij hoeveel mensen hun persoonlijke gegevens door de hack zijn aangetast. Volgens de wet van Californië zijn bedrijven verplicht datalekken waarbij 500 of meer burgers betrokken zijn, openbaar te maken.
Jake Martin, een woordvoerder van Hims & Hers, vertelde TechCrunch in een verklaring dat het bedrijf werd getroffen door een social engineering-aanval waarbij hackers werknemers verleidden om toegang te geven tot hun systemen. De woordvoerder zei dat de gestolen gegevens ‘voornamelijk klantnamen en e-mailadressen omvatten’. Het bedrijf zei niet welke specifieke soorten gegevens werden verzameld toen TechCrunch ernaar vroeg.
Het bedrijf wil niet zeggen of het enige communicatie van de hackers heeft ontvangen, zoals een vraag om geld.
De afgelopen maanden zijn klantenondersteunings- en ticketingsystemen rijke doelwitten geworden voor financieel gemotiveerde hackers die databases met klantinformatie hebben doorzocht en bedrijven hebben gechanteerd om losgeld te betalen.
Vorig jaar had Discord dat ook een datalek die van invloed was op het ticketverkoopsysteem van de klantenondersteuning en de door de overheid uitgegeven identiteitsbewijzen blootlegde van ongeveer 70.000 mensen die hun rijbewijs en paspoort bij het bedrijf hadden ingediend om hun leeftijd te verifiëren.
