Hims betreibt seinen Kundensupport über die Plattform eines externen Dienstleisters, dessen Namen das Unternehmen nicht nannte. Solche Support-Systeme sind in den vergangenen Jahren verstärkt ins Visier von Cyberkriminellen geraten. Im Fall von Hims gelangte ein Angreifer an Support-Tickets, die eine potenziell große Menge hochsensibler Gesundheitsdaten von Kunden enthielten.

Nach Darstellung des Unternehmens dauerte es einen Monat, bis feststand, dass die betroffenen Tickets Namen und nicht näher bezeichnete medizinische Informationen einer „begrenzten Zahl" von Kunden enthielten. Gegenüber Cybersecurity Dive, einer Schwesterpublikation von Dark Reading, erklärte ein Unternehmenssprecher, auch E-Mail-Adressen seien betroffen. Einen weiteren Monat später begann Hims damit, die betroffenen Kunden zu informieren. Eine Anfrage von Dark Reading blieb bis zum Redaktionsschluss unbeantwortet.

Baker Johnson, Chief Business Officer bei UJET, ordnet den Vorfall als branchenübergreifendes Muster ein. „Das ist nicht bloß ein Datenleck — es ist ein Bruch in der Kundenbeziehung", sagt er. Wer sich an den Support wende, besonders im Gesundheitsbereich, tue dies in einem Moment des Vertrauens. Für Johnson liegt das Grundproblem im Design: Der Kundenservice sei heute eine der reichhaltigsten Quellen personenbezogener Daten im Unternehmen, werde aber über einen Flickenteppich unverbundener Systeme verwaltet — Aufzeichnungen hier, Transkripte dort, Arbeitsabläufe wieder woanders. Genau diese Fragmentierung erzeuge das Risiko.

Wie üblich bietet Hims den betroffenen Kunden ein Jahr kostenlose Kreditüberwachung sowie einige Hinweise zum Schutz vor Identitätsdiebstahl an. Doch Identitätsdiebstahl ist nicht das einzige Risiko: Da Hims gezielt um besonders schambehaftete medizinische Themen herum geworben hat und sich vor allem an jüngere Zielgruppen richtet, in deren Lebensphasen solche Themen besonders stigmatisiert sind, könnten Angreifer Betroffene weit stärker unter Druck setzen, als es bei allgemeinen Gesundheitsdaten üblich ist — schon mit grundlegenden personenbezogenen Daten, erst recht bei darüber hinausgehenden Informationen.

Dark Reading fand keine Belege dafür, dass ShinyHunters oder eine andere kriminelle Gruppe die Hims-Daten bereits veröffentlicht hat. Die Erpressergruppe habe allerdings eine Vorgeschichte darin, gestohlene Daten zu leaken, wenn ihre Opfer nicht zahlen.