A empresa de fintech de saúde HealthEquity alerta que sofreu uma violação de dados depois que a conta de um parceiro foi comprometida e usada para acessar os sistemas da empresa para roubar informações de saúde protegidas.
A empresa diz que detectou o comprometimento após detectar “comportamento anômalo” no dispositivo pessoal de um parceiro e iniciou uma investigação sobre o incidente.
A investigação revelou que o parceiro havia sido comprometido por hackers que aproveitaram a conta sequestrada para obter acesso não autorizado aos sistemas da HealthEquity e, posteriormente, exfiltrar dados de saúde confidenciais.
“A investigação concluiu que a conta de usuário do Parceiro foi comprometida por um terceiro não autorizado, que usou essa conta para acessar informações”, diz o documento da SEC.
“As informações acessadas incluíam algumas informações de identificação pessoal, que em alguns casos são consideradas informações de saúde protegidas, pertencentes a alguns de nossos membros.”
“A investigação concluiu ainda que algumas informações foram posteriormente transferidas dos sistemas do Parceiro.”
A HealthEquity é especializada em fornecer serviços de contas poupança saúde (HSA) e outras soluções de benefícios direcionados ao consumidor, incluindo contas de gastos flexíveis (FSAs), acordos de reembolso de saúde (HRAs) e planos de aposentadoria 401(k).
É uma das maiores custodiantes de HSA nos Estados Unidos, gerenciando milhões de contas de HSA, FSA, HRA e outros benefícios, além de trabalhar com diversos empregadores e planos de saúde.
O impacto exato e o número de pessoas afetadas pelo incidente de segurança não foram divulgados, embora a HealthEquity diga que começou a notificar os indivíduos afetados.
A empresa também prometeu oferecer serviços gratuitos de monitoramento de crédito e restauração de identidade para mitigar o risco para pessoas expostas.
A investigação interna da HealthEquity não produziu evidências de que malware foi instalado em seus sistemas, e não houve interrupções técnicas. Todas as operações e serviços comerciais permanecem totalmente disponíveis.
A empresa está atualmente avaliando o impacto do incidente e o custo de seus esforços de resposta, mas observou que não acredita que o incidente terá um efeito material em seus negócios ou resultados financeiros.