💡 Vụ việc của Hims & Hers cho thấy không có hệ thống nào là hoàn toàn miễn nhiễm với các cuộc tấn công mạng, ngay cả khi đó là những công ty lớn. Đội ngũ RetroLab nhận thấy rằng, mặc dù hồ sơ y tế không bị rò rỉ, việc thông tin cá nhân cơ bản bị đánh cắp vẫn là một rủi ro lớn và đòi hỏi các công ty phải liên tục tăng cường các biện pháp bảo mật để bảo vệ người dùng.
Gã khổng lồ telehealth của Mỹ, Hims & Hers, vừa xác nhận đã trở thành nạn nhân của một cuộc tấn công mạng nghiêm trọng, dẫn đến việc rò rỉ một số thông tin cá nhân của khách hàng. Sự cố này một lần nữa gióng lên hồi chuông cảnh báo về mức độ bảo mật dữ liệu trong ngành y tế từ xa, nơi mà thông tin cá nhân thường được tin tưởng giao phó.
Theo thông báo gửi tới Văn phòng Tổng chưởng lý California (California AG), Hims & Hers phát hiện sự xâm nhập vào ngày 5 tháng 2 năm 2026 và ngay lập tức hành động để bảo vệ cơ sở hạ tầng của mình. Cuộc điều tra sau đó tiết lộ rằng, từ ngày 4 đến ngày 7 tháng 2, một tác nhân đe dọa không xác định đã truy cập vào “một số phiếu yêu cầu gửi đến đội ngũ dịch vụ khách hàng của chúng tôi.”
Các phiếu yêu cầu này, ảnh hưởng đến “một nhóm cá nhân giới hạn”, chứa thông tin cá nhân của khách hàng, bao gồm tên, thông tin liên hệ và các dữ liệu khác đã được ẩn danh trong thư thông báo. Điều đáng chú ý là Hims & Hers khẳng định hồ sơ y tế của khách hàng và các cuộc trao đổi với nhà cung cấp dịch vụ chăm sóc sức khỏe trên nền tảng không bị ảnh hưởng bởi sự cố này.
Tuy nhiên, việc rò rỉ tên và thông tin liên hệ vẫn tiềm ẩn rủi ro đáng kể, đặc biệt là nguy cơ bị lạm dụng trong các cuộc tấn công lừa đảo (phishing) và đánh cắp danh tính. Đây là một lời nhắc nhở rằng ngay cả những dữ liệu tưởng chừng ít nhạy cảm cũng có thể trở thành công cụ đắc lực cho tội phạm mạng.
Để khắc phục hậu quả, Hims & Hers đã thông báo cho cơ quan thực thi pháp luật liên bang và sẽ tiếp tục thông báo cho các cơ quan quản lý nếu được yêu cầu. Công ty cũng đang rà soát lại các chính sách và quy trình bảo mật để ngăn chặn những sự cố tương tự xảy ra trong tương lai. Hơn nữa, những cá nhân bị ảnh hưởng sẽ được Hims & Hers cung cấp dịch vụ giám sát tín dụng miễn phí và khôi phục danh tính trong vòng một năm, thông qua đối tác Cyberscout. Theo luật pháp Mỹ, các công ty bắt buộc phải thông báo nếu hơn 500 người bị ảnh hưởng, cho thấy quy mô của vụ việc có thể không hề nhỏ.
Đến thời điểm hiện tại, Hims & Hers vẫn chưa tiết lộ chi tiết về cách thức cuộc tấn công xảy ra, cũng như không có thông tin về việc liệu tin tặc có liên hệ đòi tiền chuộc hay không. Thông thường, dữ liệu nhạy cảm, đặc biệt là thông tin từ các tổ chức chăm sóc sức khỏe, có giá trị cao đối với tội phạm mạng do tiềm năng lạm dụng trong các hoạt động lừa đảo và đánh cắp danh tính. Chưa có nhóm hacker nào đứng ra nhận trách nhiệm cho vụ tấn công này và dữ liệu bị đánh cắp cũng chưa xuất hiện công khai trên mạng internet đen (dark web).
Sự cố của Hims & Hers là một lời cảnh tỉnh cho tất cả các doanh nghiệp hoạt động trong lĩnh vực telehealth và rộng hơn là y tế số. Với sự phát triển nhanh chóng của công nghệ, việc bảo vệ thông tin cá nhân của người dùng trở nên tối quan trọng hơn bao giờ hết. Người dùng cũng cần nâng cao cảnh giác, theo dõi các thông báo từ các dịch vụ mình sử dụng và thực hiện các biện pháp bảo mật cá nhân để giảm thiểu rủi ro.
Nguồn: TechRadar - https://www.techradar.com/pro/security/hims-and-hers-reveal-cyberattack-customer-support-system-hacked-and-personal-info-stolen-heres-what-we-know
