Am Dienstag gab der Anbieter von Gesundheitstechnologiediensten HealthEquity in einer Mitteilung an die US-Regulierungsbehörden bekannt, dass es zu einem Datendiebstahl gekommen sei, bei dem Hacker die „geschützten Gesundheitsinformationen“ einiger Kunden gestohlen hätten.
In einem 8-K-Antrag bei der SECDas Unternehmen erklärte, es habe „anomales Verhalten eines privat genutzten Geräts eines Geschäftspartners“ festgestellt und sei zu dem Schluss gekommen, dass das Konto des Partners von jemandem kompromittiert worden sei, der das Konto dann dazu verwendet habe, auf Informationen von Mitgliedern zuzugreifen.
Am Mittwoch gab HealthEquity gegenüber Tech weitere Einzelheiten des Vorfalls bekannt. Die Sprecherin von HealthEquity, Amy Cerny, sagte in einer E-Mail, dass es sich um einen „Einzelfall“ handele, der nicht mit anderen jüngsten Datendiebstählen in Verbindung stehe, wie etwa dem von Change Healthcare, das dem Gesundheitsgiganten UnitedHealth gehört. Im Mai sagte UnitedHealth-CEO Andrew Witty in einer Anhörung im Repräsentantenhaus, dass der Datendiebstahl „vielleicht ein Drittel“ aller Amerikaner betraf.
HealthEquity entdeckte den Datendiebstahl am 25. März und „ergriff sofort Maßnahmen, löste das Problem und begann mit einer umfassenden Datenforensik, die am 10. Juni abgeschlossen wurde.“ Das Unternehmen stellte „ein Team aus externen und internen Experten zusammen, um den Vorfall zu untersuchen und eine Reaktion vorzubereiten.“ Die Untersuchungen ergaben, dass der Datendiebstahl darauf zurückzuführen war, dass das kompromittierte Drittanbieterkonto Zugriff auf „einige SharePoint-Daten von HealthEquity“ hatte, so Cerny.
Kontaktiere uns
Haben Sie weitere Informationen zu diesem HealthEquity-Verstoß? Von einem privaten Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
SharePoint ist eine Reihe von Microsoft-Tools, mit denen Unternehmen Websites erstellen sowie interne Informationen speichern und freigeben können – im Wesentlichen ein Intranet.
Cerny sagte außerdem, dass „Transaktionssysteme, in denen Integrationen stattfinden, nicht betroffen waren“ und dass das Unternehmen Partner, Kunden und Mitglieder benachrichtige und mit Strafverfolgungsbehörden sowie Experten zusammenarbeite, um zukünftige Vorfälle zu verhindern.
Tech bat Cerny, anzugeben, welche personenbezogenen und „geschützten Gesundheitsdaten“ bei diesem Datendiebstahl gestohlen wurden, wie viele Personen betroffen waren und welcher Partner beteiligt war. Cerny wollte all diese Fragen nicht beantworten.
Früher in diesem Jahr, HealthEquity berichtete dass das Unternehmen und seine Tochtergesellschaften „HSAs und andere CDBs für unsere über 15 Millionen Konten in Partnerschaft mit Arbeitgebern, Leistungsberatern und Anbietern von Kranken- und Rentenplänen verwalten.“