El martes, el proveedor de servicios de tecnología de la salud HealthEquity reveló en un archivo ante reguladores federales que había sufrido una violación de datos, en la cual hackers robaron la «información de salud protegida» de algunos clientes.
Según un archivo 8-K presentado ante la SEC, la empresa detectó «un comportamiento anómalo por parte de un dispositivo de uso personal perteneciente a un socio comercial» y concluyó que la cuenta del socio había sido comprometida por alguien que luego utilizó la cuenta para acceder a la información de los miembros.
El miércoles, HealthEquity reveló más detalles del incidente a TechCrunch. La portavoz de HealthEquity, Amy Cerny, dijo en un correo electrónico que este fue «un incidente aislado» que no está conectado a otras violaciones recientes, como la de Change Healthcare, propiedad del gigante de la salud UnitedHealth. En mayo, el CEO de UnitedHealth, Andrew Witty, afirmó en una audiencia en la Cámara que la violación afectó «quizás a un tercio de todos los estadounidenses».
HealthEquity detectó la violación el 25 de marzo, cuando «tomó medidas inmediatas, resolvió el problema y comenzó una extensa investigación forense de datos, que se completó el 10 de junio». La empresa reunió «un equipo de expertos externos e internos para investigar y prepararse para responder». Las investigaciones determinaron que la violación se debió a que la cuenta de un proveedor externo comprometido tenía acceso a «algunos de los datos de SharePoint de HealthEquity», según Cerny.
SharePoint es un conjunto de herramientas de Microsoft que permite a las empresas crear sitios web, así como almacenar y compartir información interna, esencialmente una intranet.
Cerny también dijo que «los sistemas transaccionales, donde se producen integraciones, no se vieron afectados», y que la empresa está notificando a socios, clientes y miembros, y ha estado trabajando con las autoridades y expertos para prevenir incidentes futuros.
TechCrunch le preguntó a Cerny qué información identificable personalmente y de «salud protegida» fue robada en esta violación, cuántas personas han sido afectadas y qué socio estuvo involucrado. Cerny se negó a responder a todas estas preguntas.
A principios de este año, HealthEquity informó que la empresa y sus subsidiarias «administran HSAs y otros CDBs para nuestros más de 15 millones de cuentas en asociación con empleadores, asesores de beneficios y proveedores de planes de salud y jubilación».
En resumen, HealthEquity ha sido víctima de una violación de datos en la que la información de salud de sus clientes fue robada por hackers. La empresa ha tomado medidas para remediar la situación y prevenir incidentes futuros, pero aún queda por determinar el alcance total del daño causado.