Hims & Hers mengonfirmasi bahwa sistem dukungan pelanggan mereka mengalami serangan siber yang membuat sebagian informasi pribadi pengguna terekspos. Perusahaan telehealth asal Amerika Serikat itu menyebut insiden ini tidak menyentuh rekam medis pasien maupun komunikasi dengan tenaga kesehatan di platform mereka.
Dalam pemberitahuan pelanggaran data yang diajukan ke Kantor Jaksa Agung California, Hims & Hers menjelaskan bahwa akses tidak sah terdeteksi pada 5 Februari 2026. Hasil investigasi menunjukkan bahwa peretas masuk ke “certain tickets sent to our customer service team” dalam rentang 4 Februari hingga 7 Februari, lalu mengambil data dari “a limited set of individuals”.
Apa yang bocor dalam insiden ini
Perusahaan tidak merinci seluruh jenis data yang dicuri, tetapi mengakui bahwa nama dan informasi kontak termasuk di dalamnya. Sebagian data lain juga disebut telah disensor dalam surat pemberitahuan, sehingga rincian lengkapnya belum dipublikasikan ke ruang terbuka.
Berikut ringkasan informasi penting dari insiden tersebut:
- Sistem yang terdampak: tiket layanan pelanggan.
- Data yang terakses: nama, informasi kontak, dan data lain yang tidak dirinci.
- Data yang tidak terdampak: rekam medis dan komunikasi dengan penyedia layanan kesehatan.
- Langkah respons: memperkuat infrastruktur dan meninjau kebijakan keamanan internal.
- Bantuan bagi pengguna: pemantauan kredit gratis dan pemulihan identitas selama satu tahun melalui Cyberscout.
Insiden ini menunjukkan bahwa serangan tidak selalu menargetkan sistem medis inti. Jalur yang lebih lemah sering kali justru berada pada layanan pendukung, seperti help desk atau ticketing, yang menyimpan detail pelanggan dan riwayat komunikasi.
Mengapa tiket layanan pelanggan jadi target
Dalam sektor kesehatan digital, tiket dukungan pelanggan bisa memuat lebih banyak data sensitif daripada yang disadari pengguna. Informasi seperti nama lengkap, alamat, nomor kontak, keluhan layanan, hingga konteks penggunaan layanan dapat memberi petunjuk berharga bagi pelaku kejahatan siber untuk melakukan penipuan lanjutan.
Data dari organisasi kesehatan juga kerap bernilai tinggi di pasar gelap karena bisa dipakai untuk phishing, peniruan identitas, dan rekayasa sosial. Walau Hims & Hers menegaskan tidak ada akses ke rekam medis, informasi dasar pelanggan tetap dapat dimanfaatkan untuk membuat pesan penipuan yang terlihat meyakinkan.
Respons perusahaan dan langkah lanjutan
Hims & Hers mengatakan telah memberi tahu aparat penegak hukum federal. Perusahaan juga menyatakan akan memberi notifikasi kepada regulator lain jika memang diwajibkan, sesuai aturan yang berlaku.
Perusahaan belum menjelaskan bagaimana serangan itu terjadi dan belum mengumumkan pelaku di balik insiden tersebut. Hingga kini, tidak ada kelompok peretasan yang mengklaim bertanggung jawab, dan data yang dicuri juga belum terlihat beredar di publik.
Kondisi ini membuat perusahaan layanan kesehatan digital berada dalam tekanan besar, karena mereka harus menjaga kepercayaan pengguna sekaligus memastikan kepatuhan terhadap aturan pelaporan kebocoran data. Di Amerika Serikat, perusahaan umumnya wajib mengirim pemberitahuan jika insiden berdampak pada lebih dari 500 orang.
Apa yang perlu diperhatikan pengguna
Pengguna yang pernah berinteraksi dengan layanan pelanggan Hims & Hers perlu mengawasi potensi penyalahgunaan data. Risiko utama biasanya muncul dalam bentuk email palsu, pesan phishing, atau upaya meminta verifikasi akun dengan dalih layanan pelanggan.
Langkah kewaspadaan yang relevan mencakup memeriksa email masuk, tidak mengklik tautan sembarangan, dan memastikan setiap permintaan data datang dari saluran resmi. Jika menerima pemberitahuan dari perusahaan, pengguna juga perlu meninjau tawaran pemantauan kredit dan layanan pemulihan identitas yang disediakan.
Hims & Hers belum mengungkap skala pasti jumlah orang yang terdampak, tetapi kompensasi perlindungan identitas selama satu tahun menunjukkan perusahaan menilai risiko lanjutan tetap perlu diantisipasi. Insiden ini kembali menegaskan bahwa dalam ekosistem kesehatan digital, kebocoran data pelanggan dapat terjadi bahkan ketika catatan medis utama tidak ikut tersentuh.
