Sveikatos priežiūros fintech įmonė HealthEquity įspėja, kad ji patyrė duomenų pažeidimą po to, kai buvo pažeista partnerio paskyra ir ji buvo panaudota norint pasiekti bendrovės sistemas, kad pavogtų apsaugotą informaciją apie sveikatą.
Bendrovė teigia, kad kompromisą aptiko po to, kai partnerio asmeniniame įrenginyje aptiko „nenormalų elgesį“ ir pradėjo incidento tyrimą.
Tyrimas atskleidė, kad partneris buvo pažeistas įsilaužėlių, kurie pasinaudojo užgrobta paskyra, kad gautų neteisėtą prieigą prie „HealthEquity“ sistemų ir vėliau išfiltruotų neskelbtinus sveikatos duomenis.
„Tyrimo metu buvo padaryta išvada, kad Partnerio vartotojo paskyra buvo pažeista neteisėtos trečiosios šalies, kuri naudojo šią paskyrą informacijai pasiekti“, – rašoma SEC pareiškime.
„Prieinama informacija apima tam tikrą asmenį identifikuojančią informaciją, kuri kai kuriais atvejais laikoma saugoma sveikatos informacija, susijusi su tam tikrais mūsų nariais.
„Tyrimas taip pat padarė išvadą, kad tam tikra informacija vėliau buvo perkelta iš partnerio sistemų.
„HealthEquity“ specializuojasi sveikatos taupomųjų sąskaitų (HSA) paslaugų ir kitų vartotojams skirtų naudos sprendimų teikime, įskaitant lanksčias išlaidų sąskaitas (FSA), sveikatos kompensavimo susitarimus (HRA) ir 401 (k) pensijų planus.
Tai vienas didžiausių HSA saugotojų Jungtinėse Valstijose, valdantis milijonus HSA, FSA, HRA ir kitų išmokų sąskaitų bei dirbantis su daugybe darbdavių ir sveikatos planų.
Tikslus saugumo incidento poveikis ir žmonių skaičius nebuvo atskleisti, nors „HealthEquity“ teigia, kad pradėjo informuoti nukentėjusius asmenis.
Bendrovė taip pat pažadėjo pasiūlyti nemokamas kredito stebėjimo ir tapatybės atkūrimo paslaugas, kad sumažintų pažeidžiamų žmonių riziką.
„HealthEquity“ vidinis tyrimas nepateikė įrodymų, kad kenkėjiškos programos buvo numestos jos sistemose, ir nebuvo jokių techninių trikdžių. Visos verslo operacijos ir paslaugos išlieka visiškai prieinamos.
Bendrovė šiuo metu vertina incidento poveikį ir reagavimo pastangų išlaidas, tačiau pažymėjo, kad nemano, kad incidentas turės reikšmingos įtakos jos verslui ar finansiniams rezultatams.
