Hims & Hers warns of data breach after Zendesk support ticket breach

Violation de données chez Hims & Hers via Zendesk

La plateforme de télésanté Hims & Hers a été victime d’une fuite de données entre le 4 et le 7 février 2026, suite à un accès non autorisé à son instance Zendesk. Les investigations ont confirmé que des tickets de support client ont été dérobés, exposant potentiellement les noms et coordonnées des utilisateurs. L’entreprise précise toutefois que les dossiers médicaux et les échanges avec les médecins n’ont pas été compromis.

Points clés :

• Responsable : Le groupe de cybercriminels « ShinyHunters ».
• Mode opératoire : Utilisation de comptes Okta SSO compromis pour accéder illicitement à la plateforme SaaS Zendesk de l’entreprise.
• Impact : Vol de millions de tickets de support client.
• Contexte : Cette attaque s’inscrit dans une campagne plus large ciblant des plateformes tierces via des accès SSO mal sécurisés.

Vulnérabilités :

• Absence de CVE spécifique mentionnée, l’incident reposant sur une compromission d’identifiants (via Okta SSO) permettant un accès non autorisé à un service SaaS tiers.

Recommandations :

• Pour l’entreprise : Renforcement de la sécurité des accès aux plateformes SaaS et sécurisation accrue des comptes d’authentification unique (SSO).
• Pour les clients impactés : Vigilance accrue face aux tentatives d’hameçonnage (phishing) ou d’ingénierie sociale, examen régulier des relevés de comptes et surveillance des rapports de crédit. Hims & Hers propose 12 mois de services gratuits de surveillance du crédit aux personnes concernées.

Source