ハッカーがHims & HersのZendeskにまるで鍵がかかってないみたいにスルッと侵入。数百万件のサポートチケットが消えた。名前、メール、それ以上かも——今やダークウェブの虚空を漂ってる。
考えてみろ。これは近所の八百屋が鍵を落としたレベルの話じゃない。Hims & Hers——薄毛治療、ED薬、ダイエット薬をオンラインでバンバン売るテレヘルス巨頭だ。売上高は10億ドル目前。派手な広告が街中に溢れてる。それなのに、こんな目に。
ShinyHuntersの最新戦利品
ShinyHunters。あの恐喝大好きのクズどもだ。窓ガラスを叩き割ったりはしない——そんな野蛮な真似はしない。OktaのSSOアカウントを侵害しただけ。ドカン。Zendeskにアクセス。2026年2月4日から7日まで、チケットを吸い上げる。Hims & Hersは5日に気づいた。「不審な活動だ」と通知で白状。
“2026年2月5日、Hims & Hers, Inc.は第三者カスタマーサービスプラットフォームに不審な活動があることを把握しました。”と影響を受けた個人に送った手紙に書かれている。”直ちにカスタマーサービスプラットフォームのセキュリティを強化し、調査を開始しました。”
直ちに。へえ。3月3日になってようやく認めた:ハッカーが個人データ入りチケットを掴んだ、と。医療記録はなし、と誓う。医師との会話もなし。ただ、客がハゲや夜の悩みを吐き出す生々しいやつだけ。
だがここが肝心——俺の辛口コメント:これはZendesk疲労の悪臭だ。ManoManoを覚えてるか?DIYチェーン、2月のZendesk経由侵害。Crunchyroll?アニメファンのデータ、3月、同じプラットフォーム。三度目の正直? 冗談じゃない。パターンだ。企業はサポートをアウトソースして効率自慢、そしたらハッカーがビュッフェ扱い。Hims & Hersは特別じゃない。証拠Cだ。
なぜZendesk? いつもZendeskなのか?
見てみろ。Zendeskは雑談にはいい。チケットが飛んでくる、担当者が返事、みんなハッピー。Okta SSOが割れるまではな。シングルサインオン:楽ちんログインの天才、封じ込めの悪夢。一つの弱いパスワード、一人のフィッシング食らった幹部で、プシュー——SaaS全体が丸裸。
Hims & Hersはこれにどっぷり。直販テレヘルスは信頼が命だ。スキンケアの後悔やメンタルヘルスの相談をぶちまける? 客は金庫みたいなセキュリティを期待。なのにShinyHuntersと共有ドライブで好き勝手状態。
PRの言い訳? 「医療記録は侵害なし」。可愛いね。だがあのチケット? フィッシャーには金脈だ。「ボブさん、薄毛相談のアップデート——ここクリック」。ドカン。アカウント乗っ取り。ID盗用。会社は12カ月クレジット監視をバラまく。いい心がけ。遅いけど。
テレヘルスのサードパーティ依存は破綻寸前か?
答え:ああ、そのままだと。Hims & Hersはサブスクで急成長。医者に簡単アクセス、薬が郵便で届く。だがスケールはベンダー頼み。Zendesk。Okta。クラウド万能。ハッカーは広がりが大好物。
こんな歴史的反面教師を想像しろ——2000年代初頭、インドのコールセンターにみんな殺到。コストカット! までデータダンプがヘッドライン。今はSaaS版。同じシナリオのデジタルリミックス。大胆予測:2027年までにテレヘルス規制が敏感分野のインハウスサポートを義務化。さもなくば、あの10億ドル売上を食う罰金だ。
客は? 全部監視。勝手メール? 即ゴミ。クレジットレポート? 週イチチェック。Hims & Hersは警戒を促す。当然だ。
ちょっと脱線——なんで数字出さない? BleepingComputerが聞いた:何人影響? 無言。真の侵害はこれだ:透明性の真空。ShinyHuntersは数百万と自慢。会社は「一部チケット」とぼかす。どっちかにしろ。
Zendeskのトラブルは深刻化
Zendesk侵害は孤立じゃない。疫病だ。ManoMano:客データ山盛り。Crunchyroll:サブスク露呈。今Hims & Hers、ステークスは超パーソナル。ED相談がリークサイトで腐らないわけない。
サードパーティはスケーラビリティを約束。シングル障害点を提供するだけ。Hims & Hersのハイプマシン——インスタでミノキシジルを売りつけるインフルエンサーども——が現実と衝突。テレヘルスで信頼はすぐ溶ける。一回の侵害で解約急増。
ドライユーモア:サポートチケットが日記より秘密満載なら、鍵を他人に渡すなよ。どう思う?
対策? SSO捨ててエアギャップサポート? MFA全振り? BASツールで侵害経路テスト? んなわけ。パッチ当てて通知して次へ。次回まで。
客はどうする?
クレジット凍結。新パスワード。目を光らせろ。
Hims & Hersが監視提供。使え。だが油断無用。ShinyHuntersは止まらない。
**
🧬 関連インサイト
- 詳細: Microsoft Unmasks Cookie-Driven PHP Shells Lurking in Linux Crons
- 詳細: Cisco’s 9.8 Flaws Hand Attackers Server Keys and Root Access
よくある質問**
Hims & Hersデータ侵害の原因は?
ハッカーが侵害したOkta SSOを使ってZendeskインスタンスにアクセス、2026年2月4〜7日のサポートチケットを盗んだ。
Hims & Hers Zendesk侵害で何人影響?
会社は言わず、だがShinyHuntersが数百万件のチケットを盗んだとの報道。
侵害後、Hims & Hersのデータは安全か?
医療記録は無事、だがチケットの名前・連絡先はアウト——フィッシングとID盗用に注意。
