根据HealthEquity发布的数据外泄通知,这家总部位于犹他州的医疗保健福利管理公司正在通知430万人,因为三月份的数据泄露事件影响了他们的个人和受保护的健康信息。
在向缅因州总检察长提交的数据泄露通知中,HealthEquity表示,尽管受影响的数据因人而异,但主要包括账户注册信息和公司管理的福利信息。
HealthEquity表示,可能包括客户姓名、地址、电话号码、社会安全号码、有关个人雇主和受抚养人(如果有的话)的信息,以及一些付款卡信息。
HealthEquity为美国各地的公司员工提供工作场所福利,如健康储蓄账户和公共交通和停车场的通勤选择。在二月份的收入报告中,HealthEquity表示,其总共有超过1500万客户账户。
在其数据泄露通知中,HealthEquity表示,在核心网络之外的一个“非结构化数据库”中发现了未经授权的访问,其中包含客户的个人和健康信息。公司表示,一些被盗的数据还包括有关诊断和处方的信息。
通知指出,泄漏是因为HealthEquity的供应商之一的用户帐户遭到破坏,密码被盗,恶意黑客利用此密码访问了数据仓库。
当TechCrunch联系HealthEquity发表评论时,公司没有透露第三方供应商的名称。该公司此前告诉TechCrunch,被损害的第三方供应商帐户可以访问“HealthEquity的某些SharePoint数据”,指的是微软SharePoint,允许公司创建自己的内部企业网络。
近年来,包括Activision、Snowflake和Worldcoin在内的多家公司由于员工密码被盗,经历了安全事件,往往是通过窃取密码的恶意软件,该软件会收集员工计算机上发现的密码和凭证。一些窃取密码的恶意软件可以绕过多因素身份验证,后者是一种可以阻止某些密码窃取攻击的安全功能,通过窃取储存在员工计算机上以持久登录的会话令牌。当会话令牌被盗时,黑客可以利用它们来访问公司网络,就像黑客是该员工一样。
HealthEquity发言人Stacie Saltzgiver重申,数据泄露是一次“孤立事件”,并确认与云巨头Snowflake持有的客户数据最近的泄露事件无关。
HealthEquity在其网站上发布了数据泄露通知。当TechCrunch查看网站通知时,HealthEquity在页面上包含了隐藏的“noindex”代码,告诉搜索引擎忽略该网页,从而有效地阻止受影响个人在搜索结果中找到HealthEquity的数据泄露通知。
在TechCrunch询问时,该公司的发言人未对代码的包含发表评论。