Pada hari Selasa, penyedia layanan teknologi kesehatan HealthEquity mengungkapkan dalam pengajuan kepada regulator federal bahwa mereka telah mengalami pelanggaran data, di mana para peretas mencuri 'informasi kesehatan yang dilindungi' dari beberapa pelanggan.
Dalam pengajuan 8-K kepada SEC, perusahaan tersebut mengatakan bahwa mereka mendeteksi 'perilaku aneh oleh perangkat pengguna pribadi milik mitra bisnis,' dan menyimpulkan bahwa akun mitra telah diretas oleh seseorang yang kemudian menggunakan akun tersebut untuk mengakses informasi anggota.
Pada hari Rabu, HealthEquity mengungkapkan lebih banyak detail insiden tersebut kepada TechCrunch. Juru bicara HealthEquity, Amy Cerny, mengatakan dalam sebuah email bahwa ini adalah 'kejadian terpencil' yang tidak terkait dengan pelanggaran terbaru lainnya, seperti yang dialami oleh Change Healthcare, yang dimiliki oleh raksasa kesehatan UnitedHealth. Pada bulan Mei, CEO UnitedHealth Andrew Witty mengatakan dalam sidang di DPR bahwa pelanggaran tersebut mempengaruhi 'mungkin sepertiga' dari seluruh warga Amerika.
HealthEquity mendeteksi pelanggaran tersebut pada tanggal 25 Maret, ketika mereka 'segera mengambil tindakan, menyelesaikan masalah, dan memulai forensik data yang luas, yang selesai pada 10 Juni.' Perusahaan tersebut membawa bersama 'tim pakar eksternal dan internal untuk menyelidiki dan bersiap untuk respons.' Penyelidikan menemukan bahwa pelanggaran terjadi karena akun vendor pihak ketiga yang diretas memiliki akses ke 'sebagian data SharePoint HealthEquity,' menurut Cerny.
SharePoint adalah sekumpulan alat Microsoft yang memungkinkan perusahaan membuat situs web, serta menyimpan dan berbagi informasi internal — secara dasarnya sebuah intranet.
Cerny juga mengatakan bahwa 'sistem transaksional, di mana integrasi terjadi, tidak terpengaruh,' dan bahwa perusahaan sedang memberitahukan mitra, klien, dan anggota, dan telah bekerja sama dengan penegak hukum serta pakar untuk mencegah insiden di masa depan.
TechCrunch meminta Cerny untuk menentukan informasi pribadi yang dapat diidentifikasi dan informasi 'kesehatan dilindungi' apa yang dicuri dalam pelanggaran ini, berapa banyak orang yang terpengaruh, dan mitra mana yang terlibat. Cerny menolak untuk menjawab semua pertanyaan tersebut.
Earlier this year, HealthEquity melaporkan bahwa perusahaan dan anak perusahaannya 'mengelola HSA dan CDB lainnya untuk lebih dari 15 juta akun kami dalam kemitraan dengan pemberi kerja, penasihat manfaat, dan penyedia rencana kesehatan dan pensiun.'
