美國知名遠距醫療品牌Hims & Hers Health（簡稱Hims）近日爆發重大資料外洩事件。駭客透過第三方客服平台入侵，竊取大量客戶支援票單，其中包含極度敏感的個人健康資訊（PHI），包括勃起功能障礙、禿頭、肥胖與心理健康相關治療紀錄。惡名昭彰的資料外洩團體ShinyHunters宣稱對此事件負責，雖然尚未證實，但若敏感資料外流，可能導致客戶遭受嚴重勒索與身分冒用風險。對台灣越來越多使用遠距醫療與跨境健康服務的民眾而言，此事件再次凸顯第三方平台資安風險與個資保護的迫切性。

 

根據Hims向佛蒙特州檢察長辦公室提交的通報，該公司於2月5日發現客服平台出現可疑活動，立即採取措施封鎖。但攻擊者已在2月4日至7日期間維持存取權限，竊取部分客戶的支援票單。Hims表示，受影響客戶「數量有限」，票單中包含姓名與未具體說明的醫療資訊，後續也可能包含電子郵件地址。事件發生後一個月，Hims才確定外洩範圍，又過一個月才開始通知受影響客戶。Hims目前未公布使用的第三方客服平台名稱。

 

Dark Reading聯繫Hims公司，截至發稿前尚未獲得回應。

UJET首席業務長Baker Johnson指出：「這不僅是資料外洩，更是客戶信任的崩壞。當人們在醫療議題上尋求幫助時，那是極度脆弱的時刻，卻反而被出賣信任。」他強調，Hims事件反映產業普遍問題：企業為了節省成本，大量將客服轉向第三方平台與自動化系統，卻未同步強化安全防護，導致敏感資料散落在多個斷裂系統中，形成高風險碎片。

 

Hims以治療男性與女性最私密的健康問題聞名，包括勃起功能障礙、脫髮、減重與心理健康等。該品牌主要鎖定年輕族群，這些議題在這個年齡層仍帶有高度社會污名。一旦個資外洩，攻擊者可能不僅進行身分盜用，更能利用極度私密的醫療紀錄進行精準勒索，對受害者造成遠超出一般個資外洩的心理與社會壓力。

 

ShinyHunters過去曾多次在受害者拒絕支付贖金後公開資料，目前尚未看到該集團釋出Hims資料，但威脅依然存在。Hims已提供受影響客戶一年免費信用監控服務，並提供身分保護建議，但專家認為這遠遠不夠。

 

Jscrambler等資安公司先前研究已指出，Meta與TikTok等大型平台廣告追蹤像素已成為合法化資訊竊取的工具，Hims事件再次證明，第三方平台與供應鏈安全已是企業無法迴避的重大風險。

 

對台灣的影響值得高度重視。台灣民眾 increasingly 使用Hims等跨境遠距醫療服務，取得處方藥與健康諮詢，特別在男性健康、減重與心理健康領域。台灣個資法對敏感醫療資料有嚴格保護規範，一旦台灣用戶資料遭外洩，不僅可能觸法，更可能面臨跨國勒索與詐騙風險。此外，台灣本土遠距醫療與健康平台若未從Hims事件中汲取教訓，強化第三方供應商管理與資料最小化原則，未來恐重蹈覆轍。

 

資安與隱私專家建議台灣用戶與企業採取以下防護措施：

 

Hims事件再次證明：在數位時代，醫療資料已成為最敏感也最值錢的目標。企業若只追求成本降低與自動化，卻忽略資安與隱私治理，最終將付出遠高於省下的代價。台灣作為亞洲數位醫療發展領先者，更應以此次事件為鏡，加速建立更嚴格的第三方平台管理與個資保護機制，守護民眾最私密的健康資料。

 

 

出處： 基於Dark Reading文章《Hims Breach Exposes the Most Sensitive Kinds of PHI》，作者Nate Nelson，發布日期2026年4月11日；並參考Hims官方通報、UJET Baker Johnson評論、BleepingComputer相關報導，以及台灣個資法與跨境醫療隱私風險分析。