Die Sicherheitslücke bei Hims offenbart ein strukturelles Problem, das weit über einen einzelnen Vorfall hinausgeht. Bereits am 4. Februar 2024 verschafften sich Unbekannte Zugang zur Kundenservice-Plattform des Unternehmens – der Verdacht wurde drei Tage später bemerkt, doch die Angreifer behielten ihre Zugriffsrechte bis zum 7. Februar. In diesem Zeitfenster konnten sie auf “bestimmte Support-Tickets” zugreifen, ohne dass sofort Alarm geschlagen wurde.
Besonders problematisch ist die zeitliche Verzögerung bei der Aufklärung: Erst einen Monat später – im März – erkannte Hims, dass die gestohlenen Tickets tatsächlich persönliche Gesundheitsdaten enthielten. Die betroffenen Kunden wurden erst später informiert. Das Unternehmen offenbarte nicht, welche Drittanbieter-Plattform für den Support verantwortlich ist – eine bewusste oder unbewusste Verschleierung, die die mangelnde Transparenz unterstreicht.
Die Gruppe ShinyHunters soll laut Berichten für den Angriff verantwortlich sein, eine Bande, die in der Vergangenheit bereits erbeutete Daten als Druckmittel eingesetzt hat. Sollten die Daten nicht gelöscht werden oder Lösegeld gezahlt werden, könnten sie in Darknet-Foren auftauchen.
Was Hims von Standard-Datenlecks unterscheidet, ist die extreme Sensibilität der Informationen. Im Gegensatz zu allgemeinen Datenverletzungen haben Angreifer hier potenziell Zugang zu Informationen über Erkrankungen, die Patienten lieber geheim halten würden – ideal für Erpressungsszenarien. Ein Hims-Patient, der sich wegen erektiler Dysfunktion behandeln lässt, könnte zum Ziel von Sextortion-Versuchen werden. Ein anderer, der psychische Hilfe sucht, könnte erpresst werden.
Das Unternehmen bietet betroffenen Kunden nun ein Jahr kostenloses Kreditmonitoring an – eine Standard-Reaktion, die kaum den Kern des Problems adressiert. Expert:innen wie Baker Johnson von UJET weisen auf die wahre Ursache hin: “Dies ist ein Designproblem.” Kundenservice-Daten sind heute in fragmentierte Systeme verteilt – Aufzeichnungen hier, Transkripte dort, Workflows woanders. Diese dezentralisierte Struktur schafft Sicherheitsrisiken und macht es Unternehmen schwer, ihre Daten umfassend zu schützen.
Für europäische Nutzer und Regulatoren sollte der Fall ein Weckruf sein. Während die DSGVO hohe Standards für den Datenschutz setzt, zeigt Hims, dass auch amerikanische Unternehmen mit europäischen Kunden diese Anforderungen nicht immer erfüllen. Die Verantwortung liegt nicht nur bei Hims, sondern auch bei den Drittanbieter-Plattformen und der zunehmenden Praxis, kritische Funktionen an Billiglösungen auszulagern.