A empresa de fintech na área de saúde, HealthEquity, está alertando sobre um incidente de violação de dados após a conta de um parceiro ser comprometida e utilizada para acessar os sistemas da companhia e roubar informações de saúde protegidas.
A companhia afirmou ter detectado o comprometimento após identificar "comportamento anômalo" em um dispositivo pessoal do parceiro e iniciou uma investigação sobre o incidente.
A investigação revelou que o parceiro foi comprometido por hackers que aproveitaram a conta sequestrada para obter acesso não autorizado aos sistemas da HealthEquity e, posteriormente, exfiltrar dados sensíveis de saúde.
"A investigação concluiu que a conta de usuário do parceiro foi comprometida por uma terceira parte não autorizada, que utilizou essa conta para acessar informações", lê-se no arquivo da SEC.
As informações acessadas incluíam alguns dados pessoalmente identificáveis, que, em alguns casos, são considerados informações de saúde protegidas, relativas a alguns dos nossos membros.
A investigação ainda concluiu que algumas informações foram posteriormente transferidas para fora dos sistemas do parceiro.
A HealthEquity é especializada em fornecer serviços de conta de poupança para saúde (HSA) e outras soluções de benefícios dirigidos pelo consumidor, incluindo contas de gastos flexíveis (FSAs), acordos de reembolso de saúde (HRAs) e planos de aposentadoria 401(k).
Ela é uma das maiores custodiantes de HSA nos Estados Unidos, gerenciando milhões de contas HSA, FSA, HRA e outros benefícios, e trabalhando com numerosos empregadores e planos de saúde.
O impacto exato e o número de pessoas afetadas pelo incidente de segurança não foram divulgados, embora a HealthEquity diga que começou a notificar os indivíduos impactados.
A companhia também prometeu oferecer serviços gratuitos de monitoramento de crédito e restauração de identidade para mitigar o risco para as pessoas expostas.
A investigação interna da HealthEquity não produziu provas de que malware foi introduzido em seus sistemas, e não houve interrupções técnicas.
Todas as operações de negócios e serviços permanecem totalmente disponíveis.
A companhia está avaliando atualmente o impacto do incidente e o custo de seus esforços de resposta, mas observou que não acredita que o incidente terá um efeito material em seus negócios ou resultados financeiros.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...