Brèche confirmée chez Hims & Hers
La société de télésanté Hims & Hers, connue pour ses traitements amaigrissants et ses prescriptions de santé sexuelle, a annoncé une violations de données affectant la plateforme de support client d’un prestataire tiers. Selon la notification déposée auprès du bureau du procureur général de Californie, des pirates ont accédé au système de ticketing entre le 4 et le 7 février et ont exfiltré un grand nombre de tickets d’assistance contenant des informations soumises par des clients.
Ce qui a été volé : éléments concrets
La société indique que les attaquants ont principalement emporté des noms et des coordonnées (notamment des adresses e‑mail). D’autres données ont été mentionnées dans la lettre mais laissées en partie caviardées par l’entreprise. Hims & Hers précise que, à ce stade, les dossiers médicaux des patients ne semblent pas avoir été compromis, mais rappelle que les tickets de support peuvent contenir des détails sensibles relatifs aux comptes et à la santé.
Comment l’attaque a eu lieu : l’ingénierie sociale en action
Le porte‑parole de Hims & Hers a attribué l’incident à une attaque d’ingénierie sociale, c’est‑à‑dire des tactiques visant à tromper des employés pour obtenir l’accès aux systèmes. Exemples précis d’attaques similaires observées dans le secteur : phishing par e‑mail imitant un fournisseur, vishing (appel téléphonique d’usurpation IT), ou prétexting pour demander des identifiants. L’entreprise n’a pas indiqué si les pirates ont émis une demande de rançon.
Pourquoi les systèmes de support sont des cibles de choix
Les plateformes de ticketing sont attractives pour les cybercriminels pour plusieurs raisons :
- Agrégation de données : elles centralisent nom, e‑mail, historique de requêtes et parfois des pièces jointes;
- Accès tiers : les prestataires externes disposent parfois de contrôles moins stricts;
- Possibilité d’extorsion : les informations peuvent être utilisées pour faire pression sur l’entreprise ou ses clients.
Un exemple marquant : l’an dernier, la fuite du système de support de Discord a exposé les pièces d’identité gouvernementales d’environ 70 000 personnes qui avaient soumis permis de conduire et passeports pour vérification d’âge.
Conséquences probables pour les personnes concernées
Les impacts possibles incluent le hameçonnage ciblé, l’usurpation d’identité, le harcèlement ou la divulgation involontaire d’informations de santé sensibles contenues dans les échanges de support. Sous la loi californienne, une notification est requise lorsque les données de 500 résidents ou plus sont compromises ; le nombre exact de personnes touchées par cette brèche n’a pas encore été communiqué publiquement.
Actions recommandées pour entreprises et utilisateurs
Pour limiter les risques similaires et protéger les personnes affectées, voici des mesures concrètes et immédiatement applicables :
- Pour les entreprises : mettre en place l’authentification multi‑facteurs (MFA) pour l’accès aux outils de support, redaction stricte des tickets (ne pas stocker de données médicales sensibles), audits réguliers des prestataires et formation renforcée contre l’ingénierie sociale;
- Pour les utilisateurs : surveiller ses e‑mails pour des tentatives de phishing, activer la MFA quand c’est possible, changer les mots de passe si un compte a été lié au service compromis et surveiller relevés bancaires et rapports de crédit;
- Mesures additionnelles : journalisation et détection d’anomalies sur les accès aux systèmes, offre de surveillance du crédit ou d’alerte sur le vol d’identité aux clients affectés, et notification aux autorités compétentes.
Ces actions combinées réduisent le risque d’exploitation des données volées et améliorent la résilience face aux attaques d’ingénierie sociale.
