HealthEquity benachrichtigt 4,3 Millionen Menschen über einen Datenverstoß im März, der ihre persönlichen und geschützten Gesundheitsdaten betrifft.
In seinem Benachrichtigung über DatenschutzverletzungenDer in Utah ansässige Verwalter von Krankenversicherungsleistungen gab in einer beim Generalstaatsanwalt des Staates Maine eingereichten Beschwerde an, dass die kompromittierten Daten zwar von Person zu Person unterschiedlich seien, es sich aber größtenteils um Anmeldeinformationen für Konten und Informationen über von dem Unternehmen verwaltete Leistungen handele.
HealthEquity sagte, die Daten könnten Kundennamen, Adressen, Telefonnummern, deren Sozialversicherungsnummer, Informationen über den Arbeitgeber der Person und die Angehörigen der Person (sofern vorhanden) sowie einige Zahlungskarteninformationen enthalten.
HealthEquity bietet Mitarbeitern in Unternehmen in den gesamten USA Zugang zu betrieblichen Leistungen wie Gesundheitssparkonten und Pendleroptionen für öffentliche Verkehrsmittel und Parkplätze. Bei der Gewinnmitteilung im Februar sagte HealthEquity Es gab insgesamt mehr als 15 Millionen Kundenkonten.
In seiner Meldung zum Datendiebstahl erklärte HealthEquity, dass es den Datendiebstahl entdeckt habe, nachdem es einen unbefugten Zugriff auf ein „unstrukturiertes Datenrepository“ außerhalb seines Kernnetzwerks festgestellt habe, das persönliche und Gesundheitsdaten von Kunden enthielt. Einige der gestohlenen Daten enthielten auch Informationen über Diagnosen und Rezepte, sagte das Unternehmen.
In der Mitteilung hieß es, der Verstoß sei erfolgt, weil das Benutzerkonto eines der Lieferanten von HealthEquity kompromittiert und dessen Passwort gestohlen worden sei, das der böswillige Hacker dann für den Zugriff auf den Datenspeicher verwendet habe.
Auf Anfrage wollte HealthEquity den Namen des Drittanbieters nicht nennen. Das Unternehmen hatte Tech zuvor mitgeteilt, dass das kompromittierte Drittanbieterkonto Zugriff auf „einige SharePoint-Daten von HealthEquity“ hatte. Damit war Microsoft SharePoint gemeint, das es Unternehmen ermöglicht, ihre eigenen internen Intranets zu erstellen.
Bei mehreren anderen Unternehmen, darunter Activision, Snowflake und Worldcoin, kam es in den letzten Jahren zu Sicherheitsvorfällen aufgrund von Passwortdiebstahl durch Mitarbeiter, häufig durch Passwortdiebstahl-Malware, die die Passwörter und Anmeldeinformationen auf dem Computer eines Mitarbeiters abgreift. Manche Passwortdiebstahl-Malware kann die Multifaktor-Authentifizierung umgehen, eine Sicherheitsfunktion, die einige Passwortdiebstahl-Angriffe blockieren kann, indem sie Sitzungstoken stiehlt, die auf dem Computer eines Mitarbeiters gespeichert sind, damit dieser dauerhaft angemeldet bleibt. Wenn Sitzungstoken gestohlen werden, können sie verwendet werden, um sich Zugang zum Netzwerk des Unternehmens zu verschaffen, als wäre der Hacker dieser Mitarbeiter.
Stacie Saltzgiver, Sprecherin von HealthEquity, bekräftigte, dass es sich bei dem Datendiebstahl um einen „Einzelfall“ gehandelt habe und bestätigte, dass er in keinem Zusammenhang mit den jüngsten Verstößen gegen die Kundendaten des Cloud-Giganten Snowflake stehe.
HealthEquity hat veröffentlichte eine Benachrichtigung über eine Datenschutzverletzung auf seiner Website. Als Tech den Hinweis auf der Website überprüfte, stellte sich heraus, dass HealthEquity auf der Seite einen versteckten „Noindex“-Code eingefügt hatte, der Suchmaschinen anweist, die Webseite zu ignorieren. Dadurch werden betroffene Personen effektiv daran gehindert, den Hinweis von HealthEquity auf die Datenpanne in den Suchergebnissen zu finden.
Auf Nachfrage von Tech äußerte sich der Unternehmenssprecher nicht zur Einbindung des Codes.