Das Fintech-Unternehmen im Gesundheitswesen HealthEquity warnt vor einer Datenschutzverletzung, nachdem das Konto eines Partners kompromittiert und für den Zugriff auf die Systeme des Unternehmens verwendet wurde, um geschützte Gesundheitsdaten zu stehlen.
Das Unternehmen gibt an, die Kompromittierung entdeckt zu haben, nachdem es ein "anormales Verhalten" auf dem persönlichen Gerät eines Partners festgestellt und eine Untersuchung des Vorfalls eingeleitet hatte.
Die Untersuchung ergab, dass der Partner von Hackern kompromittiert worden war, die das gekaperte Konto nutzten, um sich unbefugten Zugang zu den Systemen von HealthEquity zu verschaffen und später sensible Gesundheitsdaten zu exfiltrieren.
"Die Untersuchung ergab, dass das Benutzerkonto des Partners von einer unbefugten dritten Partei kompromittiert wurde, die dieses Konto für den Zugriff auf Informationen nutzte", heißt es in der SEC-Meldung.
"Die Daten, auf die zugegriffen wurde, enthielten einige persönlich identifizierbare Informationen, die in einigen Fällen als geschützte Gesundheitsdaten gelten und einige unserer Mitglieder betreffen.
"Die Untersuchung ergab ferner, dass einige Informationen anschließend von den Systemen des Partners übertragen wurden.
HealthEquity ist spezialisiert auf die Bereitstellung von Gesundheitssparkonten (HSA) und anderen verbrauchergesteuerten Vorsorgelösungen, einschließlich flexibler Ausgabenkonten (FSAs), Gesundheitskostenerstattungsregelungen (HRAs) und 401(k)-Rentenplänen.
Sie ist eine der größten HSA-Verwahrstellen in den Vereinigten Staaten, die Millionen von HSA-, FSA-, HRA- und anderen Leistungskonten verwaltet und mit zahlreichen Arbeitgebern und Gesundheitsplänen zusammenarbeitet.
Die genauen Auswirkungen und die Anzahl der von dem Sicherheitsvorfall betroffenen Personen wurden noch nicht bekannt gegeben, obwohl HealthEquity nach eigenen Angaben damit begonnen hat, die betroffenen Personen zu benachrichtigen.
Das Unternehmen versprach außerdem, kostenlose Kreditüberwachungs- und Identitätswiederherstellungsdienste anzubieten, um das Risiko für gefährdete Personen zu mindern.
Die interne Untersuchung von HealthEquity hat keine Beweise dafür erbracht, dass Schadsoftware in die Systeme eingedrungen ist, und es hat keine technischen Unterbrechungen gegeben. Alle Geschäftsabläufe und Dienstleistungen sind weiterhin voll verfügbar.
Das Unternehmen prüft derzeit die Auswirkungen des Vorfalls und die Kosten seiner Reaktionsmaßnahmen, geht jedoch nicht davon aus, dass der Vorfall wesentliche Auswirkungen auf sein Geschäft oder seine Finanzergebnisse haben wird.
