Sağlık fintech firması HealthEquity, bir ortağının hesabının ele geçirilmesi ve korunan sağlık bilgilerini çalmak için Şirket sistemlerine erişmek amacıyla kullanılmasının ardından veri ihlali yaşadığı konusunda uyardı.
Şirket, bir iş ortağının kişisel cihazında ‘anormal davranış’ tespit ettikten sonra ihlali tespit ettiğini ve olayla ilgili soruşturma başlattığını açıkladı.
Soruşturmada, ortağın, ele geçirilen hesap aracılığıyla HealthEquity’nin sistemlerine yetkisiz erişim sağlayan ve daha sonra hassas sağlık verilerini sızdıran bilgisayar korsanları tarafından tehlikeye atıldığı ortaya çıktı.
SEC dosyasında, “Soruşturma sonucunda, Ortağın kullanıcı hesabının yetkisiz bir üçüncü tarafça ele geçirildiği ve bu hesabın bilgilere erişmek için kullanıldığı sonucuna varıldı” ifadeleri yer aldı.
“Erişilen bilgiler arasında bazı durumlarda korunan sağlık bilgisi olarak değerlendirilen, bazı üyelerimize ait kişisel olarak tanımlanabilir bilgiler de yer almaktadır.”
“Soruşturmada ayrıca bazı bilgilerin daha sonra Ortak’ın sistemlerinden aktarıldığı sonucuna varıldı.”
HealthEquity, esnek harcama hesapları (FSA’lar), sağlık geri ödeme düzenlemeleri (HRA’lar) ve 401(k) emeklilik planları da dahil olmak üzere sağlık tasarruf hesabı (HSA) hizmetleri ve diğer tüketici odaklı fayda çözümleri sağlama konusunda uzmanlaşmıştır.
ABD’deki en büyük HSA saklama kuruluşlarından biridir; milyonlarca HSA, FSA, HRA ve diğer fayda hesabını yönetir ve çok sayıda işveren ve sağlık planıyla çalışır.
Güvenlik olayının kesin etkisi ve etkilenen kişi sayısı açıklanmadı ancak HealthEquity, etkilenen kişileri bilgilendirmeye başladığını söylüyor.
Şirket ayrıca, risk altında bulunan kişilerin riskini azaltmak için ücretsiz kredi izleme ve kimlik restorasyon hizmetleri sunma sözü verdi.
HealthEquity’nin dahili soruşturması, sistemlerine kötü amaçlı yazılım atıldığına dair bir kanıt üretmedi ve teknik kesintiler yaşanmadı. Tüm iş operasyonları ve hizmetler tamamen kullanılabilir durumda kalmaya devam ediyor.
Şirket şu anda olayın etkisini ve müdahale çabalarının maliyetini değerlendiriyor ancak olayın ticari veya mali sonuçları üzerinde önemli bir etkisi olacağına inanmadığını belirtti.