Nach einer internen Untersuchung stellte Hims & Hers am 3. März fest, dass Angreifer auf Support-Tickets zugegriffen hatten, die teilweise personenbezogene Daten enthielten. Betroffen sein können den Angaben zufolge Namen, Kontaktdaten und weitere, nicht näher bezeichnete Informationen, die vermutlich mit der jeweils eingereichten Support-Anfrage zusammenhängen.

Das Unternehmen betonte, dass keine medizinischen Unterlagen und keine Kommunikation mit Ärzten kompromittiert worden seien.

Weitere Einzelheiten nannte Hims & Hers nicht. BleepingComputer erfuhr jedoch in diesem Monat, dass die Erpressergruppe ShinyHunters für den Vorfall verantwortlich ist. Die Daten wurden demnach im Rahmen einer breit angelegten Kampagne gestohlen, bei der die Angreifer Okta-SSO-Konten kompromittierten, um Zugang zu Cloud-Speicherdiensten und SaaS-Plattformen von Drittanbietern zu erlangen und dort Daten zu entwenden.

Im konkreten Fall nutzten die Täter laut BleepingComputer das Okta-SSO-Konto, um auf die Zendesk-Instanz von Hims & Hers zuzugreifen, wo sie Millionen von Support-Tickets erbeuteten.

Hims & Hers bietet allen Betroffenen nun zwölf Monate lang eine kostenlose Bonitätsüberwachung an. Kunden werden zudem aufgefordert, bei unaufgeforderten Nachrichten wachsam zu sein, die Phishing- oder Social-Engineering-Köder enthalten könnten, sowie ihre Kontoauszüge und Bonitätsauskünfte auf verdächtige Aktivitäten zu prüfen. Auf eine Anfrage von BleepingComputer nach weiteren Informationen und zur Zahl der betroffenen Kunden antwortete das Unternehmen bis zum Redaktionsschluss nicht.

Zendesk war zuletzt bereits in zwei weiteren prominenten Fällen von Sicherheitsvorfällen im Kundenservice betroffen, die zu Datenlecks bei Kunden führten: bei der Heimwerker-Kette ManoMano im Februar und bei Crunchyroll im März.