Violação de dados em empresa de saúde dos EUA impacta 4,3 milhões de pessoas

A empresa de saúde norte-americana HealthEquity está a notificar 4,3 milhões de pessoas que viram a sua informação pessoal e médica comprometida numa violação de dados a um fornecedor externo.

A HealthEquity explicou ao escritório do Procurador-Geral do estado do Maine que o incidente foi identificado a 25 de março e necessitou de uma “extensa investigação técnica”. Nessa investigação, a empresa “descobriu alguns acessos não autorizados e a potencial divulgação de informações de saúde protegidas e/ou informações de identificação pessoal armazenadas num repositório de dados não estruturado fora dos nossos sistemas principais”.

Segundo a empresa, os dados foram expostos depois de os ciberatacantes terem comprometido uma conta de utilizador de um fornecedor externo que tinha acesso ao repositório online, ganhando acesso à informação ali armazenada.

A HealthEquity referiu que tomou ações imediatas, incluindo a desativação de todas as contas do fornecedor e terminando todas as sessões ativas, o bloqueio de todos os endereços de IP associados à atividade dos atacantes e implementando um reset de todas as passwords para o fornecedor impactado.