Il martedì, il fornitore di servizi tecnologici per la salute HealthEquity ha reso noto in una comunicazione ai regolatori federali di aver subito una violazione dei dati, in cui hacker hanno rubato le 'informazioni sanitarie protette' di alcuni clienti.
In una presentazione 8-K alla SEC, l'azienda ha dichiarato di aver rilevato 'comportamenti anomali da parte di un dispositivo a uso personale appartenente a un partner commerciale' e ha concluso che l'account del partner è stato compromesso da qualcuno che ha poi utilizzato l'account per accedere alle informazioni dei membri.
Mercoledì, HealthEquity ha reso noti ulteriori dettagli dell'incidente a TechCrunch. La portavoce di HealthEquity, Amy Cerny, ha dichiarato in un'email che si trattava di 'un incidente isolato' non collegato ad altre violazioni recenti, come quella di Change Healthcare, di proprietà del gigante del settore sanitario UnitedHealth. A maggio, il CEO di UnitedHealth, Andrew Witty, ha dichiarato in un'audizione della Camera che la violazione ha coinvolto 'forse un terzo' di tutti gli americani.
HealthEquity ha rilevato la violazione il 25 marzo, quando 'ha preso immediatamente provvedimenti, risolto il problema e avviato ampie indagini forensi, completate il 10 giugno'. L'azienda ha riunito 'un team di esperti esterni e interni per indagare e preparare una risposta'. Le indagini hanno stabilito che la violazione era dovuta al fatto che l'account del fornitore terzo compromesso aveva accesso a 'alcuni dati di SharePoint di HealthEquity', secondo Cerny.
SharePoint è un insieme di strumenti Microsoft che consente alle aziende di creare siti web e di memorizzare e condividere informazioni interne, essenzialmente un'intranet.
Cerny ha inoltre dichiarato che 'i sistemi transazionali, in cui avvengono le integrazioni, non sono stati impattati' e che l'azienda sta notificando i partner, i clienti e i membri, e sta collaborando con le forze dell'ordine e con esperti per lavorare alla prevenzione di futuri incidenti.
TechCrunch ha chiesto a Cerny di specificare quali informazioni personalmente identificabili e 'informazioni sanitarie protette' sono state rubate in questa violazione, quante persone sono state coinvolte e quale partner era coinvolto. Cerny ha rifiutato di rispondere a tutte queste domande.
All'inizio di quest'anno, HealthEquity ha riportato che l'azienda e le sue controllate 'amministrano HSA e altri CDB per oltre 15 milioni di account in collaborazione con datori di lavoro, consulenti per i benefici e fornitori di piani sanitari e previdenziali'.
