La société de technologie financière de la santé HealthEquity avertit qu’elle a subi une violation de données après que le compte d’un partenaire a été compromis et utilisé pour accéder aux systèmes de l’entreprise afin de voler des informations de santé protégées.
La société affirme avoir détecté la compromission après avoir détecté un « comportement anormal » sur l’appareil personnel d’un partenaire et lancé une enquête sur l’incident.
L’enquête a révélé que le partenaire avait été compromis par des pirates informatiques qui avaient exploité le compte détourné pour obtenir un accès non autorisé aux systèmes de HealthEquity et, plus tard, exfiltrer des données de santé sensibles.
« L’enquête a conclu que le compte d’utilisateur du partenaire avait été compromis par un tiers non autorisé, qui utilisait ce compte pour accéder à des informations », lit-on dans le dossier de la SEC.
« Les informations consultées comprenaient des informations personnellement identifiables, qui dans certains cas sont considérées comme des informations de santé protégées, relatives à certains de nos membres. »
« L’enquête a en outre conclu que certaines informations avaient ensuite été transférées hors des systèmes du Partenaire. »
HealthEquity se spécialise dans la fourniture de services de compte d’épargne santé (HSA) et d’autres solutions d’avantages sociaux destinées aux consommateurs, y compris des comptes de dépenses flexibles (FSA), des accords de remboursement de la santé (HRA) et des régimes de retraite 401(k).
C’est l’un des plus grands dépositaires de HSA aux États-Unis, gérant des millions de comptes HSA, FSA, HRA et d’autres comptes de prestations, et travaillant avec de nombreux employeurs et régimes de santé.
L’impact exact et le nombre de personnes touchées par l’incident de sécurité n’ont pas été divulgués, bien que HealthEquity ait commencé à informer les personnes touchées.
La Société a également promis d’offrir des services complémentaires de surveillance du crédit et de restauration de l’identité afin d’atténuer les risques pour les personnes exposées.
L’enquête interne de HealthEquity n’a produit aucune preuve que des logiciels malveillants ont été déposés sur ses systèmes, et il n’y a eu aucune interruption technique. Toutes les opérations et services commerciaux restent entièrement disponibles.
La Société évalue actuellement l’impact de l’incident et le coût de ses efforts d’intervention, mais a indiqué qu’elle ne pensait pas que l’incident aurait un effet significatif sur ses résultats commerciaux ou financiers.