堆代码讯 主打减肥药、性健康处方药的远程医疗公司 Hims & Hers，近日曝出一起严重的数据泄露事件。黑客入侵了该公司的第三方客户服务工单系统，窃取了大量用户的服务请求数据，尽管公司声称核心医疗记录未受影响，但涉及用户隐私的敏感信息仍面临外泄风险，再度引发了行业对远程医疗平台数据安全的担忧。

这一事件的细节，来自 Hims & Hers 周四向加州总检察长办公室提交的数据泄露通知。根据通知内容，黑客的攻击发生在 2 月 4 日至 2 月 7 日期间，目标是公司委托第三方运营的客户工单系统 —— 这套系统用于承接用户向客服团队提交的咨询、诉求与服务请求。入侵发生后，黑客窃取了海量的客户支持工单，这些工单中包含了用户提交给平台的各类个人信息。

通知显示，黑客已经获取了受影响用户的姓名、联系方式，除此之外，还有更多未具体说明的个人数据被公司在通知中隐去。Hims & Hers 方面强调，此次事件并未波及用户的正式医疗记录，但这并不意味着用户的隐私完全安全。由于客户支持系统的特殊性，用户在向客服咨询问题时，往往会在工单中提及自己的个人账户情况、个人隐私乃至健康相关的敏感内容。尤其是对于 Hims & Hers 的用户而言，他们的咨询大多围绕减肥药、性健康这类高度私密的话题，这类用户原本就是因为不愿线下暴露隐私才选择远程医疗，这些工单内容即便不属于正式医疗记录，也同样是用户不愿外泄的核心隐私。

目前，Hims & Hers 尚未披露此次事件究竟影响了多少用户。不过根据加州的隐私相关法律，一旦数据泄露事件涉及 500 名及以上该州居民，企业就必须向监管部门提交泄露通知。此次公司主动向加州总检察长办公室报备，也从侧面说明，仅加州地区的受影响用户就已经超过了这一阈值，整体的受影响人数只会更多。

针对这起攻击，Hims & Hers 的发言人杰克・马丁向科技媒体 TechCrunch 透露，此次事件属于典型的社会工程攻击 —— 黑客并未突破系统的技术防御，而是通过诱导、欺骗的方式，诱使公司内部员工授予了自己系统的访问权限。马丁称，此次被盗的数据 “主要包括客户姓名和电子邮件地址”，但当 TechCrunch 进一步询问具体的被盗数据类型、是否有更多敏感信息外泄时，公司却拒绝给出更详细的说明。更令用户不安的是，公司也不愿透露是否收到了黑客的联络，比如黑灰产攻击中常见的勒索赎金的要求，这让整个事件的后续走向充满了未知。

事实上，Hims & Hers 的遭遇并非个例。近几个月来，客户支持与工单系统已经成为了逐利黑客的重点攻击目标。这类系统往往存储了大量用户的个人信息，却常常被企业忽视安全防护，黑客入侵后，既可以窃取数据倒卖牟利，也可以以此勒索企业支付高额赎金。就在去年，社交平台 Discord 就发生过几乎一模一样的事件：黑客入侵了其客户支持工单系统，窃取了约 7 万名用户的政府签发身份信息 —— 这些用户为了验证年龄，曾向平台提交了自己的驾照、护照等敏感证件，最终全部外泄。

对于远程医疗行业而言，这起事件无疑敲响了警钟。一直以来，远程医疗平台都将核心医疗记录系统的安全作为防护重点，但第三方配套系统、客服系统这类 “边缘环节” 的安全漏洞，却正在成为黑客攻破用户隐私的突破口。尤其是对于 Hims & Hers 这类主打隐私性医疗服务的平台，用户的信任本就建立在平台对隐私的保护能力之上，如今这起模糊不清、披露不全的数据泄露事件，无疑会重创用户的信任，也提醒所有相关企业，数据安全的防护，不能有任何一个环节的疏漏。