Penyedia HSA HealthEquity telah memastikan bahwa insiden keamanan siber yang diungkapkan awal bulan ini telah membahayakan informasi 4.300.000 orang.
HealthEquity, salah satu kustodian HSA terbesar di AS, mengkhususkan diri dalam menyediakan rekening tabungan kesehatan (HSA), rekening pengeluaran fleksibel (FSA), pengaturan penggantian biaya kesehatan (HRA), dan rencana pensiun 401(k).
Dalam pengajuan Formulir 8-K yang diajukan pada tanggal 2 Juli 2024, perusahaan diungkapkan bahwa pelaku ancaman mencuri data kesehatan sensitif milik anggota menggunakan kredensial mitra yang telah disusupi.
Investigasi menentukan bahwa pelanggaran tersebut terjadi pada tanggal 9 Maret 2024, tetapi baru diverifikasi oleh firma tersebut pada tanggal 26 Juni, setelah penyelidikan internal.
“Kami menemukan beberapa akses tidak sah dan potensi pengungkapan informasi kesehatan yang dilindungi dan/atau informasi identitas pribadi yang disimpan dalam repositori data tidak terstruktur di luar sistem inti kami,” tulis pernyataan tersebut. pemberitahuan pelanggaran data akan didistribusikan kepada individu yang terkena dampak pada tanggal 9 Agustus 2024.
“Pada tanggal 26 Juni 2024, setelah memvalidasi data, sayangnya kami memutuskan bahwa beberapa informasi pribadi Anda terlibat.”
Data yang terungkap akibat pelanggaran ini bervariasi per individu dan meliputi:
- Nama lengkap
- Alamat rumah
- Nomor telepon
- ID Pemberi Kerja dan Karyawan
- Nomor Jaminan Sosial (SSN)
- Informasi umum yang bergantung
- Informasi kartu pembayaran (bukan angka)
Repositori data yang diretas, yang menurut HealthEquity berada di luar sistem intinya, kini telah diamankan dengan menghentikan sesi yang tidak sah dan memblokir alamat IP yang terkait dengan penyusup.
Perusahaan tersebut juga menerapkan pengaturan ulang kata sandi global untuk vendor yang akunnya diretas dan kemudian digunakan untuk mengakses basis data jarak jauh.
Penerima pemberitahuan pelanggaran data juga akan menerima layanan pemantauan kredit dan perlindungan pencurian identitas selama dua tahun melalui Equifax, dengan petunjuk pendaftaran dalam surat tersebut.
Individu yang terkena dampak disarankan untuk tetap waspada, meninjau laporan akun mereka untuk mengidentifikasi aktivitas yang mencurigakan, dan masuk ke akun HealthEquity mereka untuk mengonfirmasi bahwa profil pribadi dan informasi kontak mereka benar.
Saat ini, tidak ada aktor ancaman yang mengaku bertanggung jawab atas serangan di HealthEquity, dan data yang dicuri belum bocor secara daring.
