Pelanggaran data HealthEquity mempengaruhi 4,3 juta orang

HealthEquity memberi tahu 4,3 juta orang setelah pelanggaran data pada bulan Maret yang memengaruhi informasi kesehatan dan keselamatan mereka.

Dalam pemberitahuannya tentang pelanggaran data, yang dikeluarkan oleh Jaksa Agung Maine, manajer layanan kesehatan di Utah mengatakan bahwa meskipun pelanggaran data bervariasi dari orang ke orang, hal itu terutama terdiri dari informasi tentang pendaftaran akun dan informasi. tentang manfaat yang dikelola perusahaan.

HealthEquity mengatakan informasi tersebut mungkin mencakup nama pelanggan, alamat, nomor telepon, nomor Jaminan Sosial mereka, informasi tentang majikan dan tanggungan orang tersebut (jika ada), dan informasi kartu pembayaran.

HealthEquity menawarkan karyawan korporat di Amerika Serikat akses terhadap tunjangan tempat kerja, seperti rekening asuransi kesehatan serta pilihan perjalanan dan mobil. Pada laporan pendapatan bulan Februari, HealthEquity mengatakan mereka memiliki lebih dari 15 juta akun pelanggan.

Dalam pemberitahuan pelanggaran datanya, HealthEquity mengatakan pihaknya menemukan pelanggaran data tersebut setelah mendapatkan akses tidak sah ke “fasilitas penyimpanan data tidak permanen” di luar jaringannya yang berisi informasi pelanggan dan layanan kesehatan. Beberapa data yang dicuri juga mencakup informasi terkait penyakit dan obat-obatan, kata perusahaan itu.

Pemberitahuan tersebut mengatakan bahwa pelanggaran terjadi karena akun pengguna di salah satu vendor HealthEquity telah disusupi dan kata sandi mereka dicuri, yang digunakan oleh peretas jahat untuk mendapatkan akses ke database.

Saat dimintai komentar, HealthEquity tidak menyebutkan nama vendor pihak ketiga tersebut. Perusahaan sebelumnya mengatakan kepada TechCrunch bahwa akun vendor pihak ketiga memiliki akses ke “beberapa SharePoint HealthEquity,” mengacu pada Microsoft SharePoint, yang memungkinkan perusahaan membangun intranet internal mereka sendiri.

Beberapa perusahaan lain dalam beberapa tahun terakhir, termasuk Activision, Snowflake, dan Worldcoin, telah mengalami insiden keamanan akibat pencurian kata sandi karyawan, sering kali melalui penggunaan malware pencuri kata sandi, yang menghapus kata sandi dan informasi pribadi dari komputer karyawan. Beberapa perangkat lunak pencuri kata sandi dapat memastikan autentikasi multifaktor, suatu keamanan yang dapat mencegah enkripsi kata sandi, dengan mencuri token sesi, yang disimpan di komputer karyawan untuk mencegah akses berkelanjutan. Jika dicuri, kode sesi dapat digunakan. untuk mendapatkan akses ke jaringan perusahaan seolah-olah peretas adalah seorang karyawan.

Baca juga:  Perempuan dalam AI: Chinasa T. Okolo mengeksplorasi dampak AI terhadap negara-negara Selatan

Juru bicara HealthEquity Stacie Saltzgiver mengatakan pelanggaran data adalah “insiden yang terisolasi” dan menegaskan hal itu tidak ada hubungannya dengan pelanggaran baru-baru ini terhadap data pelanggan yang disimpan oleh raksasa cloud Snowflake.

HealthEquity telah merilis pemberitahuan tentang pelanggaran data di situs webnya. Setelah TechCrunch meninjau informasi situs web tersebut, HealthEquity menyertakan kode “noindex” tersembunyi di situs web yang memberitahu mesin pencari untuk mengabaikan situs web tersebut, menghalangi korban untuk menemukan informasi pelanggaran data HealthEquity dalam hasil pencarian.

Saat dihubungi oleh TechCrunch, juru bicara perusahaan tidak mengomentari penyertaan kode tersebut.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *