A empresa de telemedicina Hims & Hers Health confirmou recentemente um incidente de cibersegurança após criminosos obterem acesso não autorizado a tickets de suporte armazenados em uma plataforma externa de atendimento ao cliente. O caso reacende preocupações sobre a segurança na cadeia de fornecedores digitais, especialmente em ambientes SaaS amplamente adotados por empresas.
Segundo comunicado enviado às autoridades da Califórnia, a atividade suspeita foi detectada em 5 de fevereiro de 2026 e envolveu a plataforma de suporte operada pela Zendesk. As apurações indicam que, entre os dias 4 e 7 de fevereiro, invasores conseguiram visualizar ou extrair dados de tickets de atendimento sem permissão.
Entre as informações comprometidas estão nomes, contatos e outros dados fornecidos pelos usuários durante interações com o suporte. Apesar de a empresa afirmar que prontuários médicos e comunicações com profissionais de saúde não foram afetados, o incidente ainda representa um risco relevante, considerando os serviços sensíveis oferecidos, como tratamentos para saúde mental, queda de cabelo e disfunção erétil.
Relatos apontam que o ataque pode estar associado ao grupo hacker ShinyHunters, conhecido por operações de extorsão envolvendo grandes bases de dados. A ação teria explorado credenciais comprometidas de SSO da Okta para acessar ambientes SaaS e serviços em nuvem, incluindo a instância do Zendesk utilizada pela empresa.
Nesse cenário, os invasores teriam utilizado o acesso indevido ao sistema de autenticação para coletar milhões de tickets de suporte, ampliando significativamente o impacto potencial. Esse tipo de abordagem evidencia uma tendência crescente: ao invés de atacar diretamente sistemas centrais, cibercriminosos estão focando em integrações e plataformas terceirizadas, onde falhas de configuração ou controles mais frágeis podem existir.
A empresa informou que adotou medidas imediatas para conter o incidente, fortalecer a segurança e conduzir uma investigação aprofundada. Como parte da resposta, está oferecendo 12 meses de monitoramento de crédito gratuito aos usuários afetados, além de orientar cautela redobrada contra tentativas de phishing e engenharia social.
O caso se soma a outros episódios recentes envolvendo a mesma plataforma. Empresas como ManoMano e Crunchyroll também registraram vazamentos de dados após comprometimentos em ambientes Zendesk, indicando um possível padrão de ataques direcionados a sistemas de atendimento — muitas vezes negligenciados nas estratégias tradicionais de segurança.
O incidente reforça um ponto crítico para organizações digitais: a proteção não depende apenas de seus sistemas internos, mas também da segurança de parceiros e integrações. Em um ambiente cada vez mais conectado, a superfície de ataque se amplia, exigindo uma gestão de riscos mais abrangente e integrada.
