A Hims & Hers, companhia de telemedicina conhecida pela venda de medicamentos para emagrecimento e tratamentos de saúde sexual, confirmou ter sido alvo de um incidente de segurança que comprometeu dados em sua plataforma terceirizada de atendimento ao cliente.
De acordo com um comunicado enviado ao gabinete do procurador-geral da Califórnia na última quinta-feira, cibercriminosos conseguiram acessar informações relacionadas a solicitações feitas por usuários ao suporte da empresa. O ataque ocorreu entre os dias 4 e 7 de fevereiro, quando os invasores exploraram o sistema externo de tickets e obtiveram um grande volume de registros contendo dados fornecidos pelos próprios clientes.
Entre as informações expostas estão nomes e dados de contato dos usuários, além de outros elementos pessoais que não foram detalhados pela empresa no aviso oficial.
A Hims & Hers ressaltou que prontuários médicos não foram comprometidos. No entanto, por se tratar de um sistema de atendimento, há a possibilidade de os registros incluírem conteúdos sensíveis, como detalhes sobre contas, informações pessoais e até questões relacionadas à saúde dos clientes.
Até o momento, não foi divulgado o número total de pessoas impactadas pela violação. Pela legislação da Califórnia, empresas precisam tornar público incidentes que afetem 500 ou mais residentes do estado.
Jake Martin, representante da empresa, informou ao TechCrunch que o incidente foi resultado de um ataque de engenharia social — técnica em que criminosos manipulam funcionários para obter acesso a sistemas internos. Segundo ele, os dados acessados consistem, principalmente, em nomes e endereços de e-mail. Questionada, a empresa não especificou quais outros tipos de informações podem ter sido coletados.
A Hims & Hers também não revelou se houve contato por parte dos invasores, como pedidos de resgate ou extorsão.
Nos últimos meses, plataformas de suporte ao cliente e sistemas de tickets vêm se tornando alvos frequentes de hackers em busca de lucro, que exploram essas bases de dados para roubar informações e pressionar empresas a pagarem quantias para evitar vazamentos.
Um caso semelhante ocorreu no ano passado com o Discord, que também sofreu um ataque em seu sistema de atendimento. Na ocasião, cerca de 70 mil usuários tiveram documentos oficiais, como passaportes e carteiras de motorista enviados para verificação de idade, expostos após a invasão.
