A empresa de telemedicina Hims & Hers Health confirmou um incidente de segurança após hackers acessarem indevidamente tickets de suporte armazenados em uma plataforma terceirizada de atendimento ao cliente. O ataque levanta novos alertas sobre riscos associados à cadeia de fornecedores digitais, especialmente em ambientes SaaS amplamente utilizados.

De acordo com a notificação enviada às autoridades da Califórnia, a atividade suspeita foi identificada em 5 de fevereiro de 2026, afetando a plataforma de suporte operada pela Zendesk. A investigação apontou que, entre os dias 4 e 7 de fevereiro, invasores conseguiram acessar ou extrair informações contidas em tickets de atendimento sem autorização.

Os dados expostos incluem nomes, informações de contato e outros detalhes fornecidos pelos próprios clientes durante interações com o suporte. Embora a empresa tenha afirmado que prontuários médicos e comunicações com médicos não foram comprometidos, o incidente ainda representa um risco significativo, especialmente considerando a natureza sensível dos serviços oferecidos, como tratamentos para saúde mental, disfunção erétil e perda de cabelo.

Fontes indicam que o ataque pode estar ligado ao grupo hacker ShinyHunters, conhecido por campanhas de extorsão envolvendo grandes volumes de dados. A operação teria explorado credenciais comprometidas de SSO da Okta para acessar ambientes SaaS e serviços de armazenamento em nuvem, incluindo a instância do Zendesk utilizada pela Hims & Hers.

Nesse caso específico, os hackers teriam utilizado o acesso indevido ao SSO para extrair milhões de tickets de suporte, ampliando o impacto potencial do incidente. A técnica reforça uma tendência preocupante: em vez de explorar vulnerabilidades diretas nos sistemas principais, invasores estão cada vez mais mirando integrações e plataformas terceiras, onde controles de segurança podem ser menos rigorosos ou mal configurados.

A empresa afirmou que tomou medidas imediatas para conter o incidente, reforçar a segurança da plataforma e iniciar uma investigação detalhada. Como resposta, está oferecendo 12 meses de monitoramento de crédito gratuito para os usuários afetados, além de recomendar atenção redobrada a tentativas de phishing e engenharia social.

O caso se soma a outros incidentes recentes envolvendo a mesma plataforma. Empresas como ManoMano e Crunchyroll também sofreram vazamentos de dados após comprometimentos em ambientes Zendesk, indicando um padrão de ataques direcionados a sistemas de atendimento ao cliente — frequentemente negligenciados nas estratégias tradicionais de segurança.

O episódio evidencia um ponto crítico para empresas digitais: a segurança não depende apenas da proteção de seus sistemas internos, mas também da robustez de seus parceiros e integrações. Em um cenário cada vez mais interconectado, a superfície de ataque se expande para além do perímetro tradicional, exigindo uma abordagem mais abrangente de gestão de riscos.