HealthEquity

HSAのプロバイダーであるHealthEquity社は、今月初めに公表されたサイバーセキュリティ事件により、430万人分の情報が漏洩したと判断した。

HealthEquityは、米国最大のHSAカストディアンの1つで、健康貯蓄口座(HSA)、フレキシブル支出口座(FSA)、健康償還手配(HRA)、および401(k)退職プランを提供することを専門としています。

同社は2024年7月2日に提出したForm 8-Kの中で、脅威者がパートナーの漏洩した認証情報を使用して会員の機密健康データを盗んだことを明らかにした。

調査の結果、情報漏洩は2024年3月9日に発生したが、内部調査の結果、同社が確認したのは6月26日であった。

「当社の基幹システム外の非構造化データ・リポジトリに保存されていた保護されるべき健康情報および/または個人を特定できる情報への不正アクセスおよび開示の可能性を発見しました」と、2024年8月9日に影響を受けた個人に配布されるデータ侵害通知には書かれている。

“2024年6月26日、データを検証した結果、残念ながらあなたの個人情報の一部が関係していると判断しました。”

この情報漏えいの結果、流出したデータは個人ごとに異なり、以下のものが含まれる:

  • 氏名
  • 自宅住所
  • 電話番号
  • 雇用主および従業員ID
  • 社会保障番号(SSN)
  • 一般的な扶養家族情報
  • 支払いカード情報(番号ではない)

HealthEquity社は、侵入されたデータ・レポジトリが同社のコア・システムの外部にあることを明らかにし、現在、不正なセッションを終了させ、侵入者に関連するIPアドレスをブロックすることで安全を確保している。

また、アカウントが侵害され、後にリモート・データベースへのアクセスに使用されたベンダーのグローバル・パスワード・リセットを実施した。

情報漏えいの通知受領者には、Equifaxによる2年間のクレジット・モニタリングと個人情報盗難防止サービスも提供される。

影響を受けた個人は、引き続き警戒し、不審な動きを特定するために口座明細を確認し、HealthEquityアカウントにログインして個人プロフィールと連絡先情報が正しいことを確認するよう勧告される。

現在のところ、HealthEquity社への攻撃について責任を負う脅威者はおらず、盗まれたデータはオンライン上には流出していない。