Η αμερικανική πλατφόρμα τηλεϊατρικής Hims & Hers ανακοίνωσε παραβίαση στο σύστημα υποστήριξης πελατών, με υποκλοπή προσωπικών στοιχείων. Η υπόθεση αναδεικνύει την αυξανόμενη ευαλωτότητα κρίσιμων ψηφιακών υποδομών υγείας.
Νέα σοβαρή υπόθεση κυβερνοασφάλειας στον χώρο της ψηφιακής υγείας έρχεται από τις Ηνωμένες Πολιτείες, όπου η Hims & Hers, μία από τις πιο γνωστές πλατφόρμες τηλεϊατρικής, επιβεβαίωσε διαρροή δεδομένων μέσω τρίτης πλατφόρμας υποστήριξης πελατών. Η εταιρεία, που δραστηριοποιείται σε θεραπείες απώλειας βάρους και σεξουαλικής υγείας, γνωστοποίησε το περιστατικό με επίσημη ειδοποίηση προς τις αρχές της Καλιφόρνια.
Πώς έγινε η παραβίαση και τι εκλάπη
Σύμφωνα με την ειδοποίηση που κατατέθηκε στο γραφείο του γενικού εισαγγελέα της Καλιφόρνια, οι κυβερνοεγκληματίες απέκτησαν πρόσβαση στο τρίτο σύστημα ticketing υποστήριξης πελατών της Hims & Hers μεταξύ 4 και 7 Φεβρουαρίου. Κατά το διάστημα αυτό υπέκλεψαν μεγάλο όγκο αιτημάτων υποστήριξης, τα οποία περιείχαν προσωπικά στοιχεία που οι ίδιοι οι πελάτες είχαν υποβάλει.
Τα δεδομένα που επιβεβαιωμένα εκτέθηκαν περιλαμβάνουν ονόματα και στοιχεία επικοινωνίας, ενώ στην ειδοποίηση γίνεται αναφορά και σε «άλλα προσωπικά δεδομένα», τα οποία ωστόσο παραμένουν απορρητοποιημένα στο δημόσιο έγγραφο. Η εταιρεία υποστηρίζει ότι τα ιατρικά αρχεία, ως τέτοια, δεν επηρεάστηκαν. Ωστόσο, η φύση των συστημάτων υποστήριξης σημαίνει ότι τα tickets μπορεί να περιέχουν ευαίσθητες πληροφορίες για την υγεία, λεπτομέρειες λογαριασμών ή περιγραφές συμπτωμάτων.
Εκπρόσωπος της Hims & Hers ανέφερε ότι η επίθεση πραγματοποιήθηκε μέσω social engineering, με τους δράστες να εξαπατούν εργαζόμενους ώστε να τους παραχωρήσουν πρόσβαση. Η εταιρεία αναγνώρισε πως τα κλαπέντα δεδομένα «περιλάμβαναν κυρίως ονόματα και διευθύνσεις email», χωρίς να προσδιορίζει περαιτέρω κατηγορίες πληροφοριών. Δεν είναι επίσης σαφές αν έχει υπάρξει επικοινωνία ή απαίτηση λύτρων από τους δράστες.
Κίνδυνοι για την τηλεϊατρική και τα συστήματα υποστήριξης
Παρότι δεν έχει γίνει γνωστό πόσοι χρήστες επηρεάζονται, η υποχρέωση γνωστοποίησης στην Καλιφόρνια ενεργοποιείται όταν επηρεάζονται τουλάχιστον 500 κάτοικοι της πολιτείας, στοιχείο που δείχνει ότι η κλίμακα του περιστατικού δεν είναι αμελητέα. Το συμβάν εντάσσεται σε ένα ευρύτερο κύμα επιθέσεων εναντίον συστημάτων υποστήριξης και ticketing, τα οποία αποτελούν πλέον προνομιακό στόχο για οικονομικά υποκινούμενους hackers.
Τα συστήματα αυτά συγκεντρώνουν σε ένα σημείο πλήθος δεδομένων ταυτοποίησης, επικοινωνίας αλλά και περιγραφών προβλημάτων, συχνά με επισυναπτόμενα έγγραφα. Πρόσφατο παράδειγμα αποτελεί η διαρροή στην πλατφόρμα Discord, όπου η παραβίαση του συστήματος υποστήριξης οδήγησε στην αποκάλυψη κυβερνητικών ταυτοτήτων δεκάδων χιλιάδων χρηστών.
Για τον κλάδο της τηλεϊατρικής, όπου η εμπιστοσύνη των χρηστών είναι κρίσιμη προϋπόθεση, τέτοια περιστατικά έχουν διπλή διάσταση: ρυθμιστική και φήμης. Πέρα από πιθανές κυρώσεις από αρχές προστασίας δεδομένων, κάθε διαρροή σε υπηρεσίες που σχετίζονται με θέματα όπως η σεξουαλική υγεία ή η απώλεια βάρους έχει αυξημένο ψυχολογικό και κοινωνικό κόστος για τους ασθενείς.
Η υπόθεση Hims & Hers λειτουργεί ως καμπανάκι και για παρόχους υγείας στην Ευρώπη και την Ελλάδα, που επιταχύνουν την ψηφιοποίηση υπηρεσιών: η ασφάλεια δεν μπορεί να περιορίζεται στα βασικά ιατρικά συστήματα, αλλά πρέπει να επεκτείνεται σε κάθε κρίκο της αλυσίδας, από τα call centers μέχρι τις πλατφόρμες υποστήριξης τρίτων.
Σχόλιο 
: Η υπόθεση αναδεικνύει ότι τα «παράπλευρα» συστήματα –ιδίως τα εργαλεία υποστήριξης πελατών– είναι σήμερα από τα πιο αδύναμα σημεία των ψηφιακών οικοσυστημάτων υγείας. Για παρόχους που επενδύουν στην τηλεϊατρική, η πραγματική διαφοροποίηση δεν θα κριθεί μόνο στην εμπειρία χρήστη ή στο μάρκετινγκ, αλλά στην ικανότητα να θωρακίσουν end-to-end όλη την αλυσίδα δεδομένων, συμπεριλαμβανομένων των συνεργατών τους. Όσοι το αγνοήσουν, θα βρεθούν αντιμέτωποι όχι μόνο με πρόστιμα, αλλά με διαβρωμένη εμπιστοσύνη – το πιο ακριβό «κεφάλαιο» στον χώρο της υγείας.
#κυβερνοασφάλεια #τηλεϊατρική #HimsAndHers #διαρροήΔεδομένων
