A gigante de telehealth Hims & Hers Health está alertando que sofreu uma violação de dados após tickets de suporte terem sido roubados de uma plataforma terceirizada de atendimento ao cliente.
A Hims & Hers é uma empresa norte-americana de telehealth voltada ao atendimento direto ao consumidor, oferecendo tratamentos por assinatura para queda de cabelo, disfunção erétil, saúde mental, cuidados com a pele, perda de peso e outras condições.
A companhia é uma das marcas mais bem-sucedidas dos Estados Unidos nos segmentos de farmácia online e telehealth, com forte presença de marketing e receita anual próxima de US$ 1 bilhão.
Segundo uma amostra da notificação enviada às autoridades da Califórnia, a violação ocorreu no início de fevereiro de 2026.
“Em 5 de fevereiro de 2026, a Hims & Hers, Inc.
tomou conhecimento de atividade suspeita envolvendo nossa plataforma terceirizada de atendimento ao cliente”, diz a carta enviada às pessoas impactadas.
“Tomamos imediatamente medidas para proteger nossa plataforma de atendimento ao cliente e iniciamos uma investigação sobre a natureza e o alcance do possível incidente de segurança.”
“A investigação determinou que, de 4 de fevereiro de 2026 a 7 de fevereiro de 2026, determinados tickets enviados à nossa equipe de atendimento foram acessados ou obtidos sem autorização.”
Após a investigação interna, a empresa concluiu, em 3 de março, que hackers haviam acessado tickets de suporte que, em alguns casos, continham informações pessoais.
Os dados expostos podem incluir nomes, informações de contato e outros dados não especificados, provavelmente relacionados à solicitação de suporte enviada em cada caso.
A empresa ressaltou que nem registros médicos nem comunicações com médicos foram comprometidos no incidente.
Embora não tenha divulgado mais detalhes, foi apurado no mês passado que o ataque foi conduzido pelo grupo de extorsão ShinyHunters.
Os dados foram roubados como parte de uma campanha mais ampla, na qual os threat actors comprometeram contas de SSO da Okta para obter acesso a serviços de armazenamento em nuvem e plataformas SaaS de terceiros e, assim, roubar informações.
Nesse ataque específico, foi informado que os agentes de ameaça utilizaram a conta de SSO da Okta para acessar a instância da Zendesk da Hims & Hers, onde teriam roubado milhões de tickets de suporte.
A empresa agora está oferecendo 12 meses de serviço gratuito de monitoramento de crédito a todas as pessoas afetadas.
Os clientes também são orientados a manter atenção redobrada com comunicações não solicitadas, que podem conter tentativas de phishing ou engenharia social.
Além disso, devem revisar extratos de conta e monitorar relatórios de crédito em busca de atividades suspeitas.
Dois casos recentes de destaque envolvendo falhas de segurança em plataformas de atendimento ao cliente e que resultaram em vazamento de dados foram os da rede de lojas DIY ManoMano, em fevereiro, e da Crunchyroll, em março.
Em ambos os casos, a plataforma comprometida era a Zendesk.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...