Hims & Hers confirma vazamento de dados após ataque a tickets de suporte na Zendesk e acende alerta sobre riscos em serviços terceirizados de atendimento
A empresa de telemedicina Hims & Hers Health confirmou ter sido vítima de um incidente de segurança que expôs informações de clientes armazenadas em uma plataforma terceirizada de suporte ao usuário. Criminosos digitais conseguiram acessar indevidamente tickets de atendimento mantidos em um ambiente da Zendesk, popular solução SaaS de help desk, reacendendo o debate sobre a vulnerabilidade da cadeia de fornecedores digitais utilizada por empresas de saúde e tecnologia.
Segundo comunicado encaminhado às autoridades do estado da Califórnia, a companhia identificou atividade anômala em 5 de fevereiro de 2026 em sua instância de suporte baseada na Zendesk. Investigações internas revelaram que, entre 4 e 7 de fevereiro, invasores obtiveram acesso não autorizado ao sistema e puderam visualizar ou extrair dados contidos em tickets de atendimento ao cliente.
As informações expostas incluem nomes, dados de contato e outros detalhes fornecidos voluntariamente pelos usuários ao interagir com a central de suporte da empresa. Esses registros, em muitos casos, podem conter contexto sensível, como descrições de problemas, dúvidas sobre tratamentos ou menções indiretas ao estado de saúde dos pacientes. A empresa reforça, porém, que prontuários médicos formais e comunicações diretas entre usuários e profissionais de saúde não foram comprometidos.
Apesar dessa ressalva, o episódio é particularmente delicado devido ao tipo de serviço oferecido pela Hims & Hers. A companhia atua em segmentos como saúde mental, tratamentos para disfunção erétil e terapias para queda de cabelo – temas que, por natureza, exigem elevado grau de sigilo e confiança. Vazamentos associados a esse tipo de atendimento podem gerar constrangimento, risco de exposição pública e até tentativas de extorsão direcionada contra usuários.
Fontes ligadas à investigação apontam o grupo ShinyHunters como possível responsável pelo ataque. Essa quadrilha é conhecida por operações de extorsão envolvendo grandes bases de dados corporativos e por explorar acessos a múltiplos serviços em nuvem. No caso da Hims & Hers, o grupo teria utilizado credenciais comprometidas de SSO (single sign-on) da Okta para se infiltrar em diversos ambientes SaaS e serviços de armazenamento em nuvem, entre eles a instância da Zendesk usada pela empresa.
A partir desse acesso ao SSO, os criminosos teriam conseguido navegar por integrações e aplicações conectadas, extraindo milhões de tickets de suporte vinculados a diferentes organizações, incluindo a Hims & Hers. Essa estratégia evidencia uma mudança clara de foco por parte dos atacantes: em vez de buscar diretamente os sistemas centrais ou bancos de dados mais protegidos, eles passam a mirar pontos de integração, soluções de suporte e fornecedores terceirizados, onde frequentemente há configurações fracas, permissões excessivas ou monitoramento insuficiente.
Em resposta ao incidente, a Hims & Hers declarou que implementou ações imediatas para conter o acesso indevido, isolar o ambiente afetado e revisar controles de segurança associados à plataforma. A empresa afirma ter iniciado uma investigação forense detalhada, envolvendo times internos e especialistas externos, para entender a extensão completa do vazamento, mapear quais clientes foram impactados e identificar eventuais falhas de processo ou de configuração que possam ter contribuído para o sucesso do ataque.
Como medida de mitigação, a organização está oferecendo 12 meses de monitoramento de crédito gratuito para os usuários potencialmente afetados, em linha com práticas comuns em casos de exposição de dados pessoais. Além disso, orienta os clientes a manterem atenção redobrada a possíveis tentativas de phishing, golpes por e-mail ou mensagens usando informações básicas já conhecidas dos criminosos, bem como a não clicarem em links suspeitos ou fornecerem senhas e códigos de autenticação a terceiros.
O caso da Hims & Hers não é isolado. Outros incidentes recentes envolveram ambientes de suporte baseados em Zendesk e resultaram em vazamentos de dados em empresas como ManoMano e Crunchyroll. O padrão que se desenha é preocupante: sistemas de atendimento ao cliente, muitas vezes enxergados como infraestruturas de apoio e não como ativos críticos, têm se tornado alvo prioritário de ataques, justamente por armazenarem grande volume de informações pessoais e de relacionamento, e por serem historicamente menos protegidos do que sistemas financeiros ou clínicos.
Esse cenário reforça uma lição que vem se consolidando no campo da cibersegurança: proteger apenas os servidores internos e as aplicações consideradas “core” já não é suficiente. Em um ecossistema digital fortemente interligado, o nível de segurança de uma empresa passa a depender também da maturidade de seus parceiros, provedores SaaS, integrações de suporte, plataformas de autenticação e serviços em nuvem. Cada novo conector, API ou ferramenta externa amplia a superfície de ataque disponível para grupos mal-intencionados.
Para organizações que lidam com dados de saúde ou informações extremamente sensíveis, isso significa revisitar o modelo de gestão de riscos de terceiros. É essencial estabelecer critérios rígidos para a escolha de fornecedores, exigir controles de segurança alinhados a padrões reconhecidos, revisar contratos para incluir responsabilidades claras em caso de incidentes e, principalmente, implementar processos contínuos de auditoria e monitoramento sobre essas integrações.
Outro ponto crítico é o uso de SSO e soluções de identidade. Embora o single sign-on traga ganhos importantes de usabilidade e controle centralizado, ele também pode se tornar um ponto único de falha. Caso as credenciais administrativas ou de alto privilégio sejam comprometidas, o invasor potencialmente ganha uma “chave mestra” para múltiplos sistemas conectados. Reduzir esse risco passa por adotar autenticação multifator forte, segmentação de acessos, privilégios mínimos, monitoramento de sessões suspeitas e rotação rigorosa de chaves e tokens.
Empresas que utilizam plataformas de suporte como a Zendesk devem ainda revisar cuidadosamente quais dados realmente precisam ser enviados para esses sistemas. Em muitos casos, informações excessivamente sensíveis acabam sendo registradas em tickets de forma desnecessária, seja por automatizações mal configuradas, seja por falta de orientação às equipes de atendimento. Políticas claras sobre classificação de dados, anonimização de informações e uso de campos mascarados podem reduzir significativamente o impacto de um eventual vazamento.
Do ponto de vista do usuário final, alguns cuidados também podem mitigar riscos. Evitar compartilhar detalhes muito específicos sobre condições de saúde, documentos pessoais ou informações financeiras em campos de texto livre nos tickets é uma prática recomendada. Sempre que possível, é preferível utilizar canais oficiais e autenticados da própria plataforma de saúde para tratar dados clínicos, em vez de descrevê-los extensamente em conversas com suporte técnico ou administrativo.
A comunicação transparente após incidentes desse tipo é outro fator determinante para preservar, ao menos em parte, a confiança do público. Explicar com clareza o que foi acessado, o que não foi impactado, quais medidas foram tomadas e quais ações o usuário deve adotar ajuda a reduzir o pânico e a evitar desinformação. Em setores como o de telemedicina, em que o relacionamento é construído em cima da percepção de confidencialidade, omissões ou respostas vagas tendem a causar danos de reputação ainda maiores do que o próprio ataque.
Por fim, o episódio da Hims & Hers se soma a uma sequência de eventos que mostram como o modelo de negócios baseado em múltiplas camadas de serviços em nuvem e ferramentas terceirizadas exige uma mudança de mentalidade: segurança não é mais um atributo isolado, mas um esforço compartilhado em toda a cadeia digital. Empresas que tratam a proteção de dados como um diferencial competitivo, e não apenas como obrigação regulatória, tendem a sair na frente ao construir relações mais sólidas com seus usuários em um ambiente de ameaças em constante evolução.