根据HealthEquity发布的数据外泄通知，这家总部位于犹他州的医疗保健福利管理公司正在通知430万人，因为三月份的数据泄露事件影响了他们的个人和受保护的健康信息。

在向缅因州总检察长提交的数据泄露通知中，HealthEquity表示，尽管受影响的数据因人而异，但主要包括账户注册信息和公司管理的福利信息。

HealthEquity表示，可能包括客户姓名、地址、电话号码、社会安全号码、有关个人雇主和受抚养人（如果有的话）的信息，以及一些付款卡信息。

HealthEquity为美国各地的公司员工提供工作场所福利，如健康储蓄账户和公共交通和停车场的通勤选择。在二月份的收入报告中，HealthEquity表示，其总共有超过1500万客户账户。

在其数据泄露通知中，HealthEquity表示，在核心网络之外的一个“非结构化数据库”中发现了未经授权的访问，其中包含客户的个人和健康信息。公司表示，一些被盗的数据还包括有关诊断和处方的信息。

通知指出，泄漏是因为HealthEquity的供应商之一的用户帐户遭到破坏，密码被盗，恶意黑客利用此密码访问了数据仓库。

当TechCrunch联系HealthEquity发表评论时，公司没有透露第三方供应商的名称。该公司此前告诉TechCrunch，被损害的第三方供应商帐户可以访问“HealthEquity的某些SharePoint数据”，指的是微软SharePoint，允许公司创建自己的内部企业网络。

近年来，包括Activision、Snowflake和Worldcoin在内的多家公司由于员工密码被盗，经历了安全事件，往往是通过窃取密码的恶意软件，该软件会收集员工计算机上发现的密码和凭证。一些窃取密码的恶意软件可以绕过多因素身份验证，后者是一种可以阻止某些密码窃取攻击的安全功能，通过窃取储存在员工计算机上以持久登录的会话令牌。当会话令牌被盗时，黑客可以利用它们来访问公司网络，就像黑客是该员工一样。

HealthEquity发言人Stacie Saltzgiver重申，数据泄露是一次“孤立事件”，并确认与云巨头Snowflake持有的客户数据最近的泄露事件无关。

HealthEquity在其网站上发布了数据泄露通知。当TechCrunch查看网站通知时，HealthEquity在页面上包含了隐藏的“noindex”代码，告诉搜索引擎忽略该网页，从而有效地阻止受影响个人在搜索结果中找到HealthEquity的数据泄露通知。

在TechCrunch询问时，该公司的发言人未对代码的包含发表评论。