Утечка Данных В Hims & Hers: Взлом Системы Поддержки И Риски Для Клиентов

Ключевые выводы

• Компания Hims & Hers, продающая лекарства для похудения и препараты для сексуального здоровья через telehealth, подтвердила утечку данных.
• Взломан сторонний сервис поддержки клиентов (ticketing system) в период с 4 по 7 февраля.
• Злоумышленники похитили тикеты, содержащие имена, email и другую личную информацию пользователей.
• Медицинские записи пациентов не затронуты, но данные из тикетов могут раскрывать контекст здоровья.
• Атака проведена методом социальной инженерии — обманом сотрудников.
• Количество пострадавших пока не раскрыто, уведомление подано в Калифорнию (подпадает под действие CCPA).
• Это trend: системы поддержки клиентов все чаще становятся мишенью для вымогателей (пример Discord).

Если вы когда-либо обращались в службу поддержки онлайн-сервиса, вероятно, оставляли там свои контактные данные и описание проблемы. Утечка в Hims & Hers — суровое напоминание, что даже «второстепенные» системы могут стать дырой для вашей личной информации. Особенно когда за рекламой miracle-препаратов стоят реальные медицинские контексты. Давайте разберем, как так вышло и что может означать эта утечка для обычного пользователя.

Что случилось: взлом через «заднюю дверь»

14 февраля 2025 года компания Hims & Hers, известный оператор телемедицины в США, подала уведомление об инциденте в офис Генерального прокурора Калифорнии. Суть blunt: хакеры получили доступ к сторонней системе обработки запросов в службу поддержки (customer support ticketing system).

Взлом происходил с 4 по 7 февраля. Злоумышленники не взламывали напрямую базы данных клиентов Hims & Hers, а использовали уязвимость партнерского сервиса. Способ — social engineering. То есть не техническая дыра в коде, а обман людей. Хакеры убедили сотрудников этого третьего подрядчика предоставить им доступ к системе.

В результате злоумышленники похитили огромное количество support tickets — обращений клиентов. Каждый тикет — это обычно имя, контактные данные и текст запроса. В случае телемедицинской компании запросы часто содержат контекст: проблему с потенцией, весом, выписанный препарат, вопросы по доставке. Это и есть основная ценность для киберпреступников.

Какие данные украли: не просто email, а медицинский контекст

В уведомлении компания прямо указывает, что похищены: имена клиентов и их контактная информация. Что именно под «контактной информацией»? Скорее всего, email и, возможно, номер телефона или адрес для доставки.

Но главная сложность в другом. В обращениих в поддержку пользователи телемедицинских сервисов часто:

• Упоминают название препарата (например, Семаглутид для похудения или Силденафил).
• Описывают симптомы или диагнозы.
• Задают вопросы о дозировках, побочных эффектах, взаимодействии с другими лекарствами.

Эти детали не являются официальными медицинскими записями (medical records), которые хранятся в отдельной защищенной системе EHR (Electronic Health Record). Но они раскрывают состояние здоровья. Это очень чувствительная персональная информация (PHI — Protected Health Information) по сути. Компания в уведомлении частично закрасила (redacted) «другую unspecified personal data», что намекает на более широкий спектр украденной информации.

Представитель Jake Martin заявил, что stolen data «primarily included customer names and email addresses». Но почему COMPANY не раскрывает ВСЕ типы данных? Возможно, еще не завершила расследование или feared паника. Но контекст — это gold для фишеров и шантажистов.

Почему это произошло: слабое звено — third-party система

Здесь ключевой момент — third-party ticketing system. Hims & Hers не использовала свою собственную встроенную поддержку, а заказала у внешнего вендора. Это распространённая практика для экономии и масштабирования. Но каждая интеграция — это новый риск.

Киберпреступники давно поняли: атаковать напрямую защищенную финансовую или медицинскую организацию сложно и затратно. Гораздо проще взломать ее поставщика услуг с более слабой безопасностью. Вендоры сервисов поддержки часто обрабатывают тысячи компаний, их системы становятся лакомой целью. Если взломать одну такую систему, можно получить доступ к данным тысяч организаций. Это масштабируемая атака.

Метод — social engineering — особенно эффективен против служб поддержки. Там работают люди с разным уровнем спецподготовки по кибергигиене. Фальшивый email от «руководства», срочный запрос на «тестовый доступ», звонок от «службы безопасности» — эти уловки отлично работают.

Контекст: тренд 2025 — атаки на системы поддержки

Это не единичный случай. В октябре 2024 года Discord сообщил об утечке через свою систему поддержки. Тогда похитили правительственные идентификаторы (водительские права, паспорта) около 70 000 пользователей, которые отправляли их для верификации возраста.

Что общего? Обе платформы:

1. Имеют огромную пользовательскую базу.
2. Собирают через поддержку чувствительные документы/информацию.
3. Используют или использовали сторонние решения для тикетов.

Киберпреступники ищут данные для:

• Вымогательства (ransomware/ extortion): угрожают опубликовать данные, если компания не заплатит.
• Фишинга: используют украденные имена и email для точечных атак, выглядящих как легальные уведомления от Hims & Hers.
• Кражи идентичности: особенно опасны сканы паспортов или другие документы (как в случае Discord).
• Шантажа: если в тикетах есть упоминания деликатных медицинских проблем.

С ростом телемедицины и онлайн-сервисов这类 атаки будут участиться. Традиционная безопасность (фаерволы, шифрование) важна, но болевая точка теперь — люди и процессы у подрядчиков.

Что это значит для клиентов: риски и действия

Если вы когда-либо пользовались Hims & Hers, вероятность, что ваши данные в этой утечке, высока. Вот что может произойти и что делать:

Риск №1: Угрожающий фишинг

Злоумышленники теперь знают ваш email и имя, и то, что вы клиент Hims & Hers. Они могут отправить письмо, которое выглядит как официальное: «Ваш заказ задержан, обновите данные», «Подтвердите платеж», «Ваш рецепт готов». Ссылка приведет на фальшивый сайт для кражи пароля или платежной карты.

Что делать: Не кликайте по ссылкам в письмах от Hims & Hers, даже если они выглядят правдоподобно. Заходите на сайт напрямую, через закладки. Проверяйте адрес отправителя (часто бывает misspelled, например, @hims-herss.com).

Риск №2: Вымогательство и шантаж

Если в тикете вы писали о деликатной проблеме (например, импотенции, ВИЧ-статусе, ожирении), эта информация может быть использована для шантажа. «Заплатите в биткоинах, иначе мы отправим это вашей семье/работодателю».

Что делать: Такие угрозы нужно сразу сообщать в полицию (cybercrime unit). Не платите. Уголовное дело — лучший ответ.

Риск №3: Кладовая для спама и мошенничества

Обычный спам и垃圾 calls с предложениями «ускорить похудение» или «чудо-средства от импотенции» станут точечными и более убедительными.

Что делать: Настроить строгие фильтры спама в почте, не отвечать на такие звонки.

Риск №4: Угроза для других аккаунтов

Если вы использовали тот же email и пароль на других сайтах (особенно финансовых), это опасно. Киберпреступники часто пробуют «брутфорс» — подбор пароля на популярных сервисах.

Что делать: Срочно сменить пароль на аккаунте Hims & Hers и на всех сайтах, где используется тот же email. Включить двухфакторную аутентификацию (2FA) везде, где возможно.

Правовая сторона: почему уведомление подано в Калифорнию

Уведомление подано в Калифорнию, потому что компания имеет там клиентов. California Consumer Privacy Act (CCPA) требует, чтобы компании сообщали о утечках, затрагивающих 500 или более жителей штата. Форма SB24-621205 — стандартный документ AG.

Что это значит для компании? Потенциальные штрафы от AG, collective action (коллективные иски) от клиентов. Калифорния — один из самых строгих штатов по защите隐私. Компания обязана была уведомить пользователей «в разумные сроки».

Однако, поскольку точное количество пострадавших неизвестно, компания, возможно, играет на округлении. Но если инцидент затрагивает ≥500 калифорнийцев, уведомление обязательно. Факт подачи уведомления уже признание инцидента.

Чему учит эта утечка: lesson для бизнеса и пользователей

Для бизнеса, особенно в healthcare и fintech:

• Third-party risk management — must-have. Нельзя просто подписать контракт с вендором и забыть. Нужны regular security audits, clause об ответственности за утечки, право на проверку.
• Минимизация данных: хранить только необходимое. В тикетах support не нужно хранить полные копии документов или избыточные медицинские детали. Данные нужно автоматически очищать через X дней.
• Обучение сотрудников и подрядчиков: социальная инженерия — главный вектор. Regular phishing simulations, clear protocol.

Для пользователей:

• Допустим, что любая компания может быть взломана. Не доверяйте blindly.
• Используйте разные email/пароли для важных сервисов (банк, телемедицина).
• Ограничивайте информацию в тикетах: не пишите в support то, что не связано напрямую с проблемой. Используйте безопасные каналы для передачи документов.
• Включайте 2FA везде, где возможно.

Справка: ключевые сущности и их контекст

Hims & Hers: Американская telehealth-компания, основанная в 2017 году. Специализируется на онлайн-консультациях и доставке лекарств по рецепту в областях: мужское/женское здоровье, потеря веса, дерматология, психическое здоровье. Бизнес-модель — subscription + директ-доставка. Вышла на IPO в 2021. Периодически критикуется за агрессивный маркетинг и вопросы о регулировании рецептурных препаратов. В 2024-2025 годах активно продвигает препараты для похудения (семаглутид, тирзепатид).

Социальная инженерия (social engineering): Метод киберпреступлений, основанный на манипуляции людьми, а не на взломе систем. Цель — обмануть сотрудника или пользователя, чтобы тот добровольно раскрыл конфиденциальную информацию (пароли, данные доступа) или выполнил действие (перевел деньги, открыл файл). Распространенные векторы: фишинговые письма, звонки от «службы поддержки», поддельные сайты, «боссовая» почта. Противодействие — обучение, многофакторная аутентификация, procedure верификации.

California Consumer Privacy Act (CCPA): Закон о защите персональных данных жителей Калифорнии, вступил в силу в 2020 году. Дает потребителям право знать, какие их данные собираются, продаются или раскрываются; право удалить личные данные; право отказаться от продажи данных; право на недискриминацию приexercise этих прав. Применим к компаниям, которые делают бизнес в Калифорнии и соответствуют критериям (годовая выручка >$25 млн, обрабатывают данные >50 000 жителей и т.д.). За нарушения — штрафы до $7500 на нарушение,集体ные иски.

Third-party ticketing system (система тикетов для поддержки): Программное обеспечение, используемое компаниями для обработки, отслеживания и управления обращениями клиентов (запросы, жалобы, проблемы). Популярные платформы: Zendesk, Freshdesk, Jira Service Management. Риски для компании: утечка данных через уязвимости в API/интерфейсе, доступ сотрудников вендора, социальная инженерия, недостаточное шифрование, хранение избыточных данных. Best practice: шифрование данных в rest и in transit, strict access controls, regular audits, data minimization, логирование доступа.

Telehealth (телемедицина): Доставка медицинских услуг и информации с использованием телекоммуникационных технологий. Включает консультации по видео, сообщениям, удаленный мониторинг. Рост ускорился во время пандемии COVID-19. Преимущества: доступность, удобство. Уязвимости: требования к конфиденциальности (HIPAA в США), безопасность передачи данных, зависимость от интернета, риск мошеннических рецептов. Регулируется на уровне штатов и федерально (например, Ryan Haight Act для рецептурных препаратов).

В конечном счете, эта утечка — не просто «еще один киберинцидент». Это точка на глазури всего телемедицинского рынка, который растет бешено, но часто не успевает укреплять свою цифровую «довоенную» инфраструктуру. Для него безопасность — не просто IT-проблема, это часть этики и доверия. Пользователь, доверяющий компании свои самые деликатные проблемы, заслуживает того, чтобы эта компания защищала данные не хуже, чем банк. Пока что, видимо, приходится защищаться самим: крепкие пароли, 2FA, b应急预案 на случай фишинга. И, конечно, задавать вопросы своим онлайн-докторам: «Как вы храните мои данные? Кто ваши подрядчики?» Потому что предполагать худшее — единственный способ сохранить контроль.