Mardi, le fournisseur de services de technologie de la santé HealthEquity a révélé dans un dossier déposé auprès des régulateurs fédéraux qu'il avait subi une violation de données, au cours de laquelle des pirates informatiques ont volé les « informations de santé protégées » de certains clients.
Dans un dossier 8-K auprès de la SEC , la société a déclaré avoir détecté « un comportement anormal d'un appareil à usage personnel appartenant à un partenaire commercial » et a conclu que le compte du partenaire avait été compromis par quelqu'un qui a ensuite utilisé le compte pour accéder aux membres. information.
Mercredi, HealthEquity a divulgué plus de détails sur l'incident avec TechCrunch. La porte-parole de HealthEquity, Amy Cerny, a déclaré dans un e-mail qu'il s'agissait d'un « incident isolé » qui n'est pas lié à d'autres violations récentes, comme celle de Change Healthcare , propriété du géant de la santé UnitedHealth. En mai, le PDG d'UnitedHealth, Andrew Witty, a déclaré lors d'une audience à la Chambre que la violation affectait « peut-être un tiers » de tous les Américains .
HealthEquity a détecté la violation le 25 mars, lorsqu'elle a « pris des mesures immédiates, résolu le problème et commencé une analyse approfondie des données, qui s'est achevée le 10 juin ». L’entreprise a réuni « une équipe d’experts externes et internes pour enquêter et préparer une réponse ». Les enquêtes ont déterminé que la violation était due au fait que le compte du fournisseur tiers compromis avait accès à « certaines données SharePoint de HealthEquity », selon Cerny.
SharePoint est un ensemble d'outils Microsoft qui permettent aux entreprises de créer des sites Web, ainsi que de stocker et de partager des informations internes – essentiellement un intranet .
Cerny a également déclaré que « les systèmes transactionnels, où les intégrations ont lieu, n'ont pas été affectés », et que la société informe ses partenaires, clients et membres, et a travaillé avec les forces de l'ordre ainsi qu'avec des experts pour travailler à prévenir de futurs incidents.
TechCrunch a demandé à Cerny de préciser quelles informations personnelles identifiables et « de santé protégées » ont été volées dans cette violation, combien de personnes ont été affectées et quel partenaire était impliqué. Cerny a refusé de répondre à toutes ces questions.
Plus tôt cette année, HealthEquity a rapporté que la société et ses filiales « administrent des HSA et autres CDB pour nos plus de 15 millions de comptes en partenariat avec des employeurs, des conseillers en avantages sociaux et des prestataires de régimes de santé et de retraite ».