La société américaine Hims & Hers Health a récemment confirmé avoir subi une violation de données consécutive au vol de tickets de support sur une plateforme de service client tierce.
Spécialisée dans le secteur de la santé à distance, Hims & Hers propose des traitements par abonnement pour divers problèmes de santé tels que la chute de cheveux, les troubles de l’érection, la santé mentale, ainsi que d’autres besoins. Avec un chiffre d’affaires annuel frôlant le milliard de dollars, c’est l’une des marques les plus prospères des États-Unis dans le domaine de la pharmacie en ligne.
D’après une notification adressée aux autorités californiennes, la violation aurait eu lieu au début du mois de février 2026. La lettre envoyée aux personnes concernées mentionne : « Le 5 février 2026, Hims & Hers, Inc. a constaté une activité suspecte sur notre plateforme de service client tierce. »
Pour contrer cette menace, l’entreprise a immédiatement sécurisé sa plateforme et lancé une enquête sur l’incident de sécurité. Les investigations ont révélé qu’entre le 4 et le 7 février, certains tickets de support avaient été accédés sans autorisation.
Le 3 mars, Hims & Hers a confirmé que des hackers avaient accédé à ces tickets, qui contenaient potentiellement des informations personnelles tels que des noms et des coordonnées, associés aux demandes de support.
Il est important de souligner que les dossiers médicaux et les communications avec les médecins n’ont pas été compromis lors de cet incident.
Bien que l’entreprise n’ait pas fourni de détails supplémentaires, BleepingComputer a appris que le piratage avait été effectué par le groupe d’extorsion ShinyHunters. Cette attaque fait partie d’une campagne plus large où des acteurs malveillants ont compromis des comptes Okta SSO pour accéder à des services de stockage en nuage tiers et voler des données.
Dans ce cas précis, les acteurs de la menace auraient utilisé un compte Okta SSO pour accéder à l’instance Zendesk de Hims & Hers, où des millions de tickets de support ont été dérobés.
Pour aider les personnes touchées, l’entreprise propose 12 mois de services de surveillance de crédit gratuits. Les clients sont également invités à faire preuve de vigilance à l’égard des communications non sollicitées pouvant contenir des tentatives de phishing ou d’ingénierie sociale. Il leur est conseillé de consulter leurs relevés de compte et de surveiller leurs rapports de crédit pour détecter toute activité suspecte.
Des demandes d’informations supplémentaires concernant cette affaire ont été adressées à l’entreprise par BleepingComputer, sans réponse avant la publication de cet article. Par ailleurs, deux autres violations de sécurité notables touchant le support client ont été récemment signalées : celles de la chaîne de stores ManoMano en février et de Crunchyroll en mars, où la plateforme compromise était également Zendesk.