HSA 个人所有信息包括ssn和信用卡几乎全部泄漏, 影响430万人

shoppping 2114 浏览 2024-09-24 发布

最近收到hsa的邮件：

What happened?

After receiving an alert, on March 25, 2024, HealthEquity became aware of a systems anomaly requiring extensive technical investigation and ultimately resulting in data forensics until June 10, 2024. Through this work, we discovered some unauthorized access to and potential disclosure of protected health information and/or personally identifiable information stored in an unstructured data repository outside our core systems. On June 26, 2024, after validating the data, we unfortunately determined that some of your personal information was involved.

2024 年 3 月 25 日收到警报后，HealthEquity 意识到系统异常，需要进行广泛的技术调查，并最终在 2024 年 6 月 10 日之前进行数据取证。通过这项工作，我们发现了一些未经授权的访问和潜在的受保护健康信息泄露存储在我们核心系统之外的非结构化数据存储库中的信息和/或个人身份信息。 2024年6月26日，经核实数据后，我们不幸确定涉及您的部分个人信息。

说人话就是：它们的数据库被第三方拿去用了。

泄露的信息包括

“The data may include information in one or more of the following categories: first name, last name, address, telephone number, employee ID, employer, social security number, dependent information (for general contact information only), and payment card information”

受影响的数据主要包括我们管理的帐户和福利的注册信息。数据可能包括以下一个或多个类别的信息：名字、姓氏、地址、电话号码、员工 ID、雇主、社会安全号码、家属信息（仅适用于一般联系信息）和支付卡信息（但不是支付卡号或 HealthEquity 借记卡信息）。并非每个人的所有数据类别都受到影响。

-----

这次泄漏真的是把所有信息都扒光了，几乎可以在网上克隆整个人。就差我指纹和人脸了。

What you can do.

Because of the impact this might have on you, HealthEquity has arranged credit identity monitoring, insurance, and restoration services for a period of two years, free of charge

由于这可能对您产生影响，HealthEquity 通过 Equifax 安排了为期两年的免费信用身份监控、保险和恢复服务。

不过需要激活

题外话：

网上一直说weee temu信息泄漏。但其实我用weee和temu都用过。没有遇到过信息泄漏。我不同网站我设置的密码都不一样，google有密码compromise check也没有遇到过我密码泄漏的问题。对于购物网站，我用google voice作为手机号码，从来没有收到过诈骗短信和电话来自谷歌voice。更别提盗刷了。去年前年倒是收到过什么国际快递诈骗。而我从2015年一直每天2-3个诈骗电话骚扰一直到最近几年才停歇。那时候都没有temu和weee什么的。所以有人说temu weee什么盗刷我都想笑。全美接近第一交易量的app盗刷？weee倒卖信息倒是有可能。

有哪些我确凿证据的信息窃用：

1 各种租房inquiry

2. 大学申请。我帮我的亲戚演示了下如何申请学校，第一页就是账号和手机号输入才能进入申请。之后一个月就接到各种校友捐款 survey啥的。后来就没有了。真不想黑她。但是是我个人经历。

3. 保险inqury。真的很烦这个

4.贷款。

可能因为上面这些因为都是会分享给当地的 agents来联络你。他们才不管这些呢。估计都有成熟利益链条了。一条个人信息收入3-5刀，积少成多。你也告不了它们。

信息是可以卖钱的。所以小规模的网站和agents不用想，大概率会把你的信息折现。大网站不屑于这点钱，或者说他们本身就是买方。

如何保护个人信息？

我不知道大家如何保护信息。但是我这里有几个我觉得超级有用的经验。

1 密码设置，每个网站设置不同的密码。比如dealmoon我会讲字母d插入到我固定密码里形成一个新的密码。比如我的固定是 asd!132！，新密码就是asdd!d132!。这样你只需要记住一个密码和加密方式就行了。

然后chrome有密码管理和password compromise check你都可以判断哪个网站泄漏了你的密码信息。很多时候密码泄漏都是“撞库” 意思就是大部分人每个网站的账号密码都一样。比如谷歌账号密码很有可能和你的某个nextdoor 小网站的账号密码一模一样。黑客只需要攻破那个小网站就能歪打正着登陆你的谷歌了。所以现在大网站都是2-step authentication 密码+ 手机号验证。

2. 不到万不得已，别用自己真实手机号。用虚拟号码

3. delivery address name其实是可以瞎写的。我也是每个网站账号的名字和邮寄名字都不一样。这也如果我收到短信或者电话叫我的名字我大概也能知道是什么网站泄漏信息。

4 我的支付选项用 google pay 或者venmo，尽可能避免直接输入号码。因为我也不清楚对方公司的安全水平级别。

5 手机服务商都有免费的过滤诈骗服务。 tmobile好像是拨打 #662# 就能开通过滤了。不现在确实没有每天收到电话，偶尔一个月1-2次和奇怪的短信。

6.不回复诈骗电话和短信。你回复了。人家可能标记你是活人。它们一天上百的电话短信。你骂他戏弄它们，它们估计都免疫了，反而还要标记你。

7 点击任何链接前永远要检查发送方。

8 提到apple gift card。必定诈骗。

好像跑偏了从hsa聊到账户安全又聊到诈骗了。

上面只是我的个人经历，也是个人观点。