疫情後正夯的遠距醫療,也成了駭客新目標?
你用過遠距醫療服務嗎?不用跑醫院,在家就能和醫生聊聊難以啟齒的健康問題,像是掉髮、勃起功能障礙或心理諮商。美國上市的遠距醫療巨頭 Hims & Hers 就是提供這類服務的佼佼者,但現在,他們得面對一個同樣難以啟齒的問題:用戶資料被駭了。
根據國外科技媒體 TechCrunch 的報導,Hims & Hers 最近向用戶發出通知,坦承公司的客戶服務系統在今年二月遭到駭客入侵,而且攻擊持續了好幾天。
這起事件再次敲響了警鐘,當我們享受科技帶來的便利時,背後潛藏的資安風險,尤其是涉及最私密的個人健康資訊(PHI),絕對不容小覷。
駭客偷了什麼?最尷尬的對話紀錄可能外洩
這次外洩的不是你的信用卡號碼或主要病歷,但情況可能更尷尬。Hims & Hers 強調,駭客攻擊的目標是「客戶支援系統」,儲存核心病歷和支付資訊的系統並未受到影響。
聽起來好像鬆了一口氣?先別急。客服系統裡的資料,正是你和客服人員之間的所有互動紀錄。想像一下,你可能曾經因為某個敏感藥物的副作用、或是某次療程的疑慮而聯繫客服,這些對話全都被記錄下來了。
駭客竊取的資料可能包含:
- 用戶姓名
- 電子郵件地址、電話號碼
- 出生日期
- 以及最重要的——你與客服的完整對話紀錄
這些對話的內容,很可能間接透露了你正在接受哪種治療或面臨何種健康問題。對於一家專門處理用戶高度隱私需求的平台來說,這無疑是個重傷害。
官方怎麼說?Hims & Hers 的後續處理
面對這場危機,Hims & Hers 表示他們在發現異常活動後,立即採取了行動。公司聘請了外部的資安專家進行調查,並向美國執法單位報案。
他們也已經開始透過電子郵件通知受到影響的用戶,並按照法規,向緬因州總檢察長辦公室提交了正式的資料外洩通報。這份公開文件未來將會揭露確切的受影響人數。
雖然 Hims & Hers 的處理程序看起來中規中矩,但事件發生在二月,卻直到四月才對外公開,中間這段時間差,也讓部分用戶感到不安。
遠距醫療的資安挑戰:方便背後的隱憂
新冠疫情徹底改變了我們的生活,遠距醫療(Telehealth)從一個小眾選項,一躍成為主流。Hims & Hers 這類公司也因此快速成長,坐擁數百萬訂閱用戶。
然而,當大量的敏感健康資料從實體診所轉移到雲端,也意味著攻擊面變得更廣。這次事件凸顯了一個常見的資安漏洞:供應鏈攻擊。
很多時候,企業本身的核心系統可能固若金湯,但他們所使用的第三方服務(例如這次出事的客服系統平台)卻可能成為駭客入侵的破口。對駭客來說,攻擊防禦相對薄弱的供應商,遠比直接挑戰大企業的核心伺服器要容易得多。
這也提醒了所有遠距醫療平台,除了保護好自家的核心資料庫,也必須嚴格審核所有合作夥伴的資安水平,因為任何一個環節出錯,都可能導致災難性的後果。
身為消費者,我們該如何自保?
如果你是 Hims & Hers 的用戶,第一件事就是檢查你的電子郵件信箱,看看是否收到官方的通知信。無論是否收到,都應該保持高度警惕。
駭客可能會利用這次竊得的個資,發動更具針對性的「社交工程攻擊」。例如,你可能會收到一封冒充 Hims & Hers 的釣魚郵件,內容提及你過去的客服問題,藉此騙取你的信任,進而盜取你的帳號密碼或金錢。
請記住,官方絕對不會在信件中要求你提供密碼或完整的個人身份資訊。對任何看起來可疑的郵件或訊息,都要再三確認來源。
結語:在便利與隱私的天秤上,我們值得更好的保障
Hims & Hers 的資安事件,是整個數位醫療產業必須正視的警訊。遠距醫療的確解決了許多人的就醫困難,它的便利性與可及性無可取代。
但這種便利,不應該以犧牲用戶最根本的隱私權為代價。對企業而言,投資資安防護絕非成本,而是建立用戶信任的基石。對我們消費者來說,這也是一個重新檢視自己所使用的網路服務、並提高個人資安意識的機會。
畢竟,當我們把最私密的健康問題託付給一個平台時,我們期待的,不僅是有效的醫療建議,更是一份令人安心的保障。
參考來源:TechCrunch
