
Le fournisseur HSA HealthEquity a déterminé qu’un incident de cybersécurité divulgué plus tôt ce mois-ci avait compromis les informations de 4 300 000 personnes.
HealthEquity, l’un des plus grands dépositaires de HSA aux États-Unis, se spécialise dans la fourniture de comptes d’épargne santé (HSA), de comptes de dépenses flexibles (FSAS), d’accords de remboursement de la santé (HRA) et de régimes de retraite 401(k).
Dans un formulaire 8-K soumis le 2 juillet 2024, la société a révélé que des acteurs de la menace avaient volé les données de santé sensibles des membres à l’aide des informations d’identification compromises d’un partenaire.
Une enquête a déterminé que l’infraction s’est produite le 9 mars 2024, mais n’a été vérifiée par le cabinet que le 26 juin, à la suite d’une enquête interne.
« Nous avons découvert un accès non autorisé et une divulgation potentielle d’informations de santé protégées et/ou d’informations personnellement identifiables stockées dans un référentiel de données non structuré en dehors de nos systèmes principaux », indique l’avis de violation de données qui sera distribué aux personnes touchées le 9 août 2024.
« Le 26 juin 2024, après avoir validé les données, nous avons malheureusement déterminé que certaines de vos informations personnelles étaient impliquées. »
Les données qui ont été exposées à la suite de cette violation varient selon les individus et comprennent:
- Noms complets
- Adresse du domicile
- Numéro de téléphone
- Identifiant de l’employeur et de l’employé
- Numéro de Sécurité Sociale (SSN)
- Informations dépendantes générales
- Informations sur la carte de paiement (pas les numéros)
Le référentiel de données piraté, dont l’Équité en santé a précisé qu’il se trouve en dehors de ses systèmes de base, a maintenant été sécurisé en mettant fin aux sessions non autorisées et en bloquant les adresses IP associées aux intrus.
De plus, l’entreprise a mis en œuvre une réinitialisation globale du mot de passe pour le fournisseur dont le compte a été piraté et utilisé plus tard pour accéder à la base de données distante.
Les destinataires des notifications de violation de données recevront également un service de surveillance du crédit et de protection contre le vol d’identité pendant deux ans via Equifax, avec des instructions d’inscription dans les lettres.
Il est conseillé aux personnes touchées de rester vigilantes, d’examiner leurs relevés de compte pour déceler toute activité suspecte et de se connecter à leur compte HealthEquity pour confirmer que leur profil personnel et leurs coordonnées sont corrects.
Actuellement, aucun acteur menaçant n’a assumé la responsabilité de l’attaque chez HealthEquity, et les données volées n’ont pas été divulguées en ligne.