Hims & Hers被黑3天才发现：客服系统成突破口|hers|hims|客服系统|工单|泄露|满血版模型

2月5日，美国远程医疗巨头Hims & Hers在系统日志里发现异常流量时，攻击者已经潜伏了整整72小时。这家公司市值曾冲破百亿美元，却在最基础的客服环节被撕开缺口——攻击者没碰核心医疗数据库，而是盯上了用户提交给客服的工单。

这种打法像小偷不进主卧，专翻门口的快递盒。盒子上没写银行卡密码，但姓名、电话、住址凑齐了，黑产链条上的下一环就能接着编故事。

攻击时间线：从渗透到暴露的72小时

根据提交给加州总检察长的 breach notification 信函，入侵发生在2月4日至2月7日之间。公司声称2月5日"发现并采取行动"，但调查结论显示攻击者直到2月7日仍在访问客服工单系统。

这意味着所谓的"立即响应"并没有切断攻击路径，系统在被发现后仍暴露了至少48小时。

Hims & Hers在信函中承认，被访问的工单涉及"a limited set of individuals"，但拒绝披露具体数字。已确认泄露的字段包括姓名、联系方式，以及被涂黑处理的其他数据类别——这种 redaction 通常暗示敏感程度更高的信息，如出生日期或部分身份标识符。

公司强调"客户医疗记录未受影响"，且"与平台医疗提供者的通信保持安全"。这种切割式声明是数据泄露事件的标准话术：把损失限定在可接受的叙事框架内，同时回避对"其他数据"的具体解释。

客服系统为何成为软柿子

远程医疗平台的架构通常把核心电子健康记录（EHR）锁在合规隔离区，但客服系统需要高频访问用户基本信息以处理订单、保险和配送问题。这种设计制造了安全层级的断层——前端客服工具往往对接多个下游系统，权限边界模糊。

攻击者选择这个入口，说明前期侦察足够充分。他们没有尝试突破HIPAA合规的医疗数据存储层，而是找到了一条阻力更小的路径：客服工单通常包含用户主动描述的症状、用药反馈、配送地址变更请求——这些信息对精准钓鱼的价值，不亚于原始病历。

一个填写了"最近开始服用抗抑郁药"的客服咨询，配上姓名和手机号，在黑市上的打包售价可能超过单纯的医疗诊断代码。

Hims & Hers表示已通知联邦执法部门，并将"在需要时"通知监管机构。这种措辞留下了操作空间——美国各州对数据泄露的强制通报时限不同，加州要求"无不当延迟"，但具体解释弹性很大。

远程医疗的安全悖论

这家公司的商业模式建立在"降低就医摩擦"之上：用户上传自拍、填写问卷、等待医生审核处方，药物直接寄送到家。2024年财报显示其活跃订阅用户超过150万，营收同比增长46%。

但便利性的代价是攻击面的扩张。传统诊所的纸质病历需要物理入侵，而Hims & Hers的用户从注册到续方的全流程都暴露在数字环境中。客服工单系统作为用户触达率最高的环节，积累了大量非结构化数据——用户往往在其中透露超出标准表单的信息。

这次事件暴露的深层问题是：当公司把"用户体验"作为核心KPI时，安全审查是否跟上了业务扩张的节奏？客服系统的访问日志监控、异常行为检测、第三方工具集成审计——这些不直接产生营收的投入，在高速增长期容易被挤压。

对比近期同类事件：医疗科技公司CareCloud在2025年底承认患者信息泄露，皮肤病学集团QualDerm的泄露规模达到"数百万可能受影响"，健康科技巨头TriZetto更是波及340万用户。Hims & Hers的"limited set"表述试图与这些案例划清界限，但"limited"的具体定义权完全掌握在公司手中。