Pada hari Selasa, penyedia layanan teknologi kesehatan HealthEquity mengungkapkan dalam pengajuan kepada regulator federal bahwa mereka telah mengalami pelanggaran data, di mana peretas mencuri “informasi kesehatan yang dilindungi” dari beberapa pelanggan.
Dalam pengajuan 8-K dengan SECperusahaan tersebut mengatakan pihaknya mendeteksi “perilaku anomali pada perangkat penggunaan pribadi milik mitra bisnis,” dan menyimpulkan bahwa akun mitra tersebut telah disusupi oleh seseorang yang kemudian menggunakan akun tersebut untuk mengakses informasi anggota.
Pada hari Rabu, HealthEquity mengungkapkan lebih banyak detail tentang insiden tersebut kepada TechCrunch. Juru bicara HealthEquity Amy Cerny mengatakan dalam sebuah email bahwa ini adalah “insiden terisolasi” yang tidak terkait dengan pelanggaran baru-baru ini, seperti yang terjadi pada Change Healthcare, yang dimiliki oleh raksasa layanan kesehatan UnitedHealth. Pada bulan Mei, CEO UnitedHealth Andrew Witty mengatakan dalam sebuah sidang DPR bahwa pelanggaran tersebut memengaruhi “mungkin sepertiga” dari semua warga Amerika.
HealthEquity mendeteksi pelanggaran tersebut pada tanggal 25 Maret, saat perusahaan tersebut “mengambil tindakan segera, menyelesaikan masalah, dan memulai forensik data yang ekstensif, yang diselesaikan pada tanggal 10 Juni.” Perusahaan tersebut mengumpulkan “tim ahli eksternal dan internal untuk menyelidiki dan mempersiapkan tanggapan.” Investigasi tersebut menetapkan bahwa pelanggaran tersebut terjadi karena akun vendor pihak ketiga yang disusupi memiliki akses ke “sebagian data SharePoint HealthEquity,” menurut Cerny.
Hubungi kami
Apakah Anda memiliki informasi lebih lanjut tentang pelanggaran HealthEquity ini? Dari perangkat non-kerja, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, atau melalui Telegram, Keybase dan Wire @lorenzofb, atau email. Anda juga dapat menghubungi TechCrunch melalui SecureDrop.
Bahasa Indonesia: Sharepoint adalah seperangkat alat Microsoft yang memungkinkan perusahaan membuat situs web, serta menyimpan dan berbagi informasi internal — pada dasarnya intranet.
Cerny juga mengatakan bahwa “sistem transaksional, tempat terjadinya integrasi, tidak terdampak,” dan bahwa perusahaan tersebut memberi tahu mitra, klien, dan anggota, dan telah bekerja sama dengan penegak hukum serta para ahli untuk mencegah insiden di masa mendatang.
TechCrunch meminta Cerny untuk menjelaskan informasi identitas pribadi dan “kesehatan yang dilindungi” apa yang dicuri dalam pelanggaran ini, berapa banyak orang yang terkena dampaknya, dan mitra mana yang terlibat. Cerny menolak untuk menjawab semua pertanyaan ini.
Awal tahun ini, HealthEquity melaporkan bahwa perusahaan dan anak perusahaannya “mengelola HSA dan CDB lainnya untuk lebih dari 15 juta akun kami dalam kemitraan dengan para pemberi kerja, penasihat tunjangan, dan penyedia rencana kesehatan dan pensiun.”
