打开网易新闻 查看精彩图片

Hims & Hers这家卖减肥药和处方药的公司,把用户最不想让人知道的事,交给了第三方客服平台保管。结果这个平台在2月4日到7日被黑客溜了进去,大批支持工单被盗走。

公司向加州总检察长办公室提交的 breach notice 里,把具体丢了什么数据涂黑了。但客服系统这东西,用户为了解决问题,往往会把病情、用药史、甚至身份证号一股脑倒进去。Hims发言人Jake Martin给TechCrunch的回应是:「主要涉及客户姓名和邮箱地址。」——至于工单里还写了什么,他没说。

打开网易新闻 查看精彩图片

攻击手法倒是老派:社会工程。黑客骗过员工拿到了系统权限,没砸门,是从里面开的锁。公司拒绝透露是否收到勒索要求,也不说有多少人受影响。加州法律规定,波及500人以上就得披露,这份文件既然交了,数字显然不止这个数。

去年Discord的客服系统也被这样搞过,7万人的政府ID照片外泄。现在黑客盯上客服工单,是因为这里面的料够脏、够值钱——减肥药的购买记录,可比一张信用卡号码勒索起来顺手多了。