A Hims & Hers Health, gigante do setor de telemedicina, confirmou um incidente de segurança que resultou no vazamento de dados de suporte ao cliente. O ataque explorou uma vulnerabilidade na plataforma de atendimento ao cliente Zendesk, onde tickets de suporte foram roubados por atacantes. Este incidente reforça os riscos críticos associados à terceirização de serviços de TI e à dependência de plataformas de terceiros para o gerenciamento de dados sensíveis de pacientes.
O incidente e o impacto nos pacientes
O ataque ocorreu através de uma brecha na infraestrutura de suporte ao cliente da Hims & Hers. Ao comprometerem o sistema Zendesk, os atacantes conseguiram acessar tickets de suporte que continham informações pessoais identificáveis (PII) e, possivelmente, dados de saúde protegidos. Embora a empresa não tenha divulgado o número exato de registros afetados, a natureza dos dados envolvidos em tickets de suporte de saúde torna o incidente particularmente sensível.
Os dados expostos podem incluir nomes, endereços, informações de contato e detalhes sobre as condições de saúde dos pacientes, que são frequentemente discutidos em tickets de suporte para renovação de receitas ou dúvidas sobre medicamentos. A exposição desses dados viola a confiança do paciente e pode levar a fraudes de identidade, phishing direcionado e outras atividades maliciosas.
A cadeia de suprimentos de TI como vetor de ataque
Este incidente é um exemplo clássico de como a cadeia de suprimentos de TI pode se tornar um vetor de ataque. A Hims & Hers, embora tenha suas próprias medidas de segurança, depende de terceiros para operações críticas. Quando um fornecedor de software como o Zendesk é comprometido, todos os clientes que utilizam a plataforma podem ser afetados, mesmo que suas próprias redes estejam seguras.
A segurança da cadeia de suprimentos é um desafio crescente para CISOs e equipes de segurança. A dependência de plataformas de terceiros para o gerenciamento de dados sensíveis exige uma abordagem de segurança em camadas, onde a responsabilidade é compartilhada entre o fornecedor e o cliente. A Hims & Hers deve agora revisar seus contratos de nível de serviço (SLA) e garantir que seus fornecedores de terceiros tenham controles de segurança robustos.
Lições para CISOs: Gestão de Risco de Terceiros (TPRM)
Este incidente serve como um lembrete urgente para a importância da Gestão de Risco de Terceiros (TPRM). As organizações devem realizar auditorias regulares de segurança de seus fornecedores e garantir que eles estejam em conformidade com os padrões de segurança exigidos. A Hims & Hers deve revisar seus processos de due diligence e monitoramento contínuo de fornecedores para evitar incidentes semelhantes no futuro.
Além disso, as empresas devem implementar controles de segurança específicos para dados de terceiros, como criptografia de ponta a ponta e segmentação de rede. A segmentação de rede pode ajudar a limitar o impacto de um comprometimento, garantindo que os dados sensíveis não sejam acessíveis a todos os sistemas da organização.
Conformidade regulatória: LGPD e setor de saúde
No Brasil, o vazamento de dados de saúde é particularmente sensível devido à Lei Geral de Proteção de Dados (LGPD). A exposição de dados de saúde pode resultar em multas significativas e danos à reputação da empresa. A Hims & Hers deve notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os pacientes afetados, conforme exigido pela LGPD.
A conformidade com a LGPD exige que as organizações implementem medidas técnicas e administrativas para proteger os dados pessoais. A Hims & Hers deve revisar seus processos de resposta a incidentes e garantir que eles estejam em conformidade com os requisitos da LGPD. Além disso, a empresa deve considerar a implementação de um programa de conformidade de dados de saúde, que inclua auditorias regulares e treinamento de funcionários.
Medidas de mitigação e resposta a incidentes
Após um incidente de segurança, as organizações devem tomar medidas imediatas para mitigar o impacto e prevenir futuros ataques. A Hims & Hers deve revisar seus logs de segurança e identificar qualquer atividade suspeita. Além disso, a empresa deve notificar os pacientes afetados e fornecer orientações sobre como proteger seus dados.
As empresas também devem considerar a implementação de ferramentas de detecção de ameaças, como sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS). Essas ferramentas podem ajudar a identificar e bloquear atividades maliciosas em tempo real, reduzindo o tempo de detecção e resposta a incidentes.
Perguntas frequentes
Quais dados foram expostos? Os dados expostos incluem informações pessoais identificáveis (PII) e possivelmente dados de saúde protegidos, conforme discutido em tickets de suporte.
Como a Hims & Hers está respondendo ao incidente? A empresa está investigando o incidente e notificará os pacientes afetados, conforme exigido pela LGPD.
Quais medidas de segurança devem ser implementadas? As empresas devem revisar seus processos de TPRM, implementar controles de segurança específicos para dados de terceiros e considerar a implementação de ferramentas de detecção de ameaças.
O que os CISOs devem fazer imediatamente
Os CISOs devem revisar seus contratos de nível de serviço (SLA) com fornecedores de terceiros e garantir que eles tenham controles de segurança robustos. Além disso, as empresas devem implementar controles de segurança específicos para dados de terceiros, como criptografia de ponta a ponta e segmentação de rede. A Hims & Hers deve revisar seus processos de resposta a incidentes e garantir que eles estejam em conformidade com os requisitos da LGPD.