ABD’deki en büyük sağlık tasarruf hesabı yöneticileri olan HealthEquity Inc., ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) yaptığı son başvuruda ayrıntılı olarak açıklandığı üzere bir siber güvenlik aksaklığıyla karşılaştı. Şirket, SEC’e sunduğu raporda, Kişisel Olarak Tanımlanabilir Bilgiler (PII) tehlikeye atılmış olsa da, ihlalin şirketin operasyonlarını veya finanslarını etkilemediğini söyledi.
HealthEquity SEC Dosyalamasının Ayrıntıları
Sağlık yönetim firmasına göre, ismi açıklanmayan bir iş ortağının hesabı, kötü niyetli kişiler tarafından ele geçirilerek PII ve korunan sağlık bilgilerine erişilip sızdırıldı.
Şirket, 2 Temmuz 2024’te dosyalanan Form 8-K raporunda, “Bu yılın başlarında, HealthEquity, Inc. rutin izleme yoluyla, bir iş ortağına ait kişisel kullanım cihazının anormal davranışından haberdar oldu. Şirket, sorunu izole etmek ve sınıflandırmak için derhal adımlar attı ve sorunun niteliği ve kapsamı hakkında bir soruşturma başlattı” dedi.
Raporda, “Soruşturma, Partner’ın kullanıcı hesabının yetkisiz bir üçüncü tarafça ele geçirildiği ve bu hesabı bilgilere erişmek için kullandığı sonucuna vardı. Erişilen bilgiler arasında bazı durumlarda korunan sağlık bilgisi olarak kabul edilen, belirli üyelerimize ait bazı kişisel olarak tanımlanabilir bilgiler de vardı. Soruşturma ayrıca bazı bilgilerin daha sonra Partner’ın sistemlerinden aktarıldığı sonucuna vardı” denildi.
SEC dosyasında siber saldırının hangi ayda gerçekleştiği veya tehdit aktörünün kim olduğu gibi daha fazla ayrıntı yer almasa da HealthEquity, şirketin 14 Mayıs’ta yaşadığı bir siber güvenlik olayına atıfta bulunuyor olabilir.
Kentucky Personel Kabinesi tarafından 21 Haziran’da paylaşılan bir medya bülteninde Vali Andy Beshear, “14 Mayıs’ta Kentucky Personel Kabinesi üyelerin HealthEquity hesaplarına yetkisiz güncellemeler yapıldığı konusunda bilgilendirildi. HealthEquity, Kentucky Çalışanları Sağlık Planı (KEHP) adına Esnek Harcama Hesapları (FSA) ve Sağlık Geri Ödeme Düzenlemeleri’ni (HRA) yöneten üçüncü taraf bir satıcıdır.
“Bu olayı araştırdıktan sonra HealthEquity, bu olası dolandırıcılık olayının 449 KEHP üye hesabını etkilediğini tespit etti. Hesaplara erişen kötü niyetli kişilerin talep geri ödemelerinden para almayı amaçladıkları varsayılıyor.
“Bu olası dolandırıcılık olayının farkına varır varmaz, HealthEquity etkilenen tüm üye hesaplarını kilitledi, yetkisiz profil değişikliklerini kaldırdı ve hesap oturum açma bilgilerini düzenleme yeteneğini askıya aldı. HealthEquity ayrıca üyeler için daha fazla güvenlik sağlamak amacıyla ek önlemler uyguladı. Güvenlik olayıyla ilgili iletişimler etkilenen tüm üyelere dağıtıldı. HealthEquity şu anda herhangi bir talep geri ödemesinin hileli olarak gönderilip gönderilmediğini veya yönlendirilip yönlendirilmediğini araştırıyor. HealthEquity, herhangi bir HRA veya FSA üye fonunun etkilendiği sonucuna varırsa, herhangi bir üye hesabını önceki bakiyeye geri yüklemeyi taahhüt etti,” diye bildirdi Valinin duyurusunda.
Veri İhlali Şirketin Sistemlerinde Kesintiye Neden Olmadı: HealthEquity
HealthEquity, SEC başvurusunda veri ihlali olayının şirketi etkilemediğini belirtti.
Raporda, “Soruşturmada herhangi bir şirket sistemine kötü amaçlı kod yerleştirildiğine dair bir bulguya rastlanmadı. Şirketin sistemlerinde, hizmetlerinde veya iş operasyonlarında herhangi bir kesinti yaşanmadı” denildi.
HealthEquity, ortaklarını ve müşterilerini bilgilendirme ve bilgileri söz konusu olabilecek bireysel üyeleri belirleme ve bilgilendirme sürecinde olduğunu söyledi.
“Şirket, ücretsiz kredi izleme ve kimlik restorasyonu hizmetleri sunmayı bekliyor. Şirket, şu anda olayın işletmesi, operasyonları veya finansal sonuçları üzerinde önemli bir olumsuz etkiye sahip olacağına inanmıyor. Şirket, düzeltme masrafları ve diğer olası yükümlülükler dahil olmak üzere bu olayın etkisini değerlendirmeye devam ediyor. Şirket, bu olay için yeterli siber güvenlik sigortasına sahip olduğuna inanıyor ve ayrıca Ortaktan rücu arayacak,” diye sonuca vardı HealthEquity, SEC dosyasında.