資料外洩通知
致<< Individual Name >>:
我們寫信給您,是因為我們已確定發生了一起數據安全事件,此事件可能導致某些由我們保管且由我們的供應商之一管理的個人識別資料有限地被未經授權存取或披露。迄今為止,我們尚未發現因該事件而實際或試圖濫用資料的情況。HealthEquity, Inc. (HealthEquity) 是 HSA 的託管人,也是與<< Covered Entity Name >>相關的FSA/HRA 計劃的直接第三方管理員,您可能現在/曾經在該實體工作。此數據安全事件導致某些個人資料(包括您的資料)遭到未經授權的存取或披露。
發生了什麼事?
HealthEquity 在 2024 年 3 月 25 日收到警報,得知系統出現異常情況且需要進行廣泛的技術調查,並最終在 2024 年 6 月 10 日完成數據取證。 透過這項調查,我們發現儲存在我們核心系統之外的非結構化數據儲存庫中的受保護健康資料和/或個人識別資料遭到未經授權的存取和潛在的洩露。2024 年 6 月 26 日,經核實數據後,很抱歉,我們確定此事件涉及您的部分個人資料。
可能涉及哪些資料?
受影響的數據主要包括由我們管理的帳戶和福利的註冊資料。 數據可能包括以下一個或多個類別的資料:名字、姓氏、地址、電話號碼、員工 ID、雇主、社會安全號碼、健康卡號碼、健康計劃會員號碼、家屬資料(僅一般聯絡資料)、服務類型、診斷、處方詳情和支付卡資料(但不包括支付卡號或 HealthEquity 扣賬卡資料)。 並非每個人的所有數據類別都會受到影響。
我們正在採取什麼行動。
一旦我們發現未經授權的活動,我們將立即展開調查並聘請第三方專家來確定事件的性質和範圍。我們在調查過程中了解到,一位有權存取網上數據儲存位置的供應商的使用者帳戶受到損害,因此,未經授權的一方能夠存取儲存在我們核心系統之外的儲存位置中的有限數據。根據調查結果,我們立即採取了行動,包括停用所有可能受到威脅的供應商帳戶並終止其所有活躍會話;封鎖與威脅行為者活動相關的所有 IP 位址;並為受影響的供應商實施全域密碼重設。此外,我們也加強了保安和監控工作、內部控制和安全狀態。
您可以採取什麼行動。
由於此事件可能影響到您和您的家屬,HealthEquity 現透過 Equifax 為您們安排了為期兩年的免費信用身份監控、保險和修復服務。使用您獨一無二的啟動碼 <啟動碼> 在網上註冊:http://www.equifax.com/activate。您可在 2024 年 12 月 31 日之前啟動這些服務。
《參考指南》包含有關您可以用來監控和保護自己的個人資料的一般步驟的資訊。我們鼓勵您仔細查看自己的財務對帳單、信用報告和其他帳戶,以確保所有帳戶活動均合法。
了解更多資料
如果您有任何疑問或需要額外資料,請參閱隨附的《參考指南》,或撥打免費電話 888-244-3079。本服務中心的開放時間為東部時間週一至週五上午 9:00 至晚上 9:00,某些美國假日除外。
對於這次事件的發生,我們深感遺憾。HealthEquity 非常重視個人資料的安全,我們將繼續努力保護受託於我們的資料。
謹啓
[簽署人]
[職稱]
參考指南
查看您的帳戶對帳單
仔細查看 HealthEquity 發送給您的對帳單,以確保您的帳戶活動正確。立即報告任何可疑費用。
在 HealthEquity 入口網站上確認個人和聯絡資料
登入 HealthEquity 入口網站並確認您的個人資料和聯絡資料正確無誤。
索取您的免費信用報告
要索取您的免費年度信用報告,您可以訪問 www.annualcreditreport.com、致電免費電話號碼 (877) 322-8228 或在美國聯邦貿易委員會(「FTC」)網站 www.ftc.gov上填寫年度信用報告申請表並將其郵寄至:Annual Credit Report Request Service, P.O. Box 105281, Atlanta, GA 30348-5281。三個信用局僅透過網站、免費電話或申請表提供免費的年度信用報告。
收到您的信用報告後,請仔細查看。查找您未有開設的帳戶。在「查詢」部分查找您未有要求信貸的債權人姓名。有些公司使用其商店或商業名稱以外的名稱進行收費;信用局將能夠判斷是否屬於這種情況。查看「個人資料」部分是否有任何不準確的資料(例如家庭住址和社會安全號碼)。
如果您發現任何不明白的地方,請撥打報告上的電話號碼與信用局聯絡。錯誤的資料可能是身份被盜用的警告信號。如果報告中有任何不準確之處(無論是由於錯誤還是欺詐),您都應盡快通知信用機構,以便對資料進行調查,如果發現有錯,則進行更正。如果出現未經您授權的帳戶或費用,請立即透過電話和書面通知相應的信用局。如果出現無法解釋的資料,您亦應向當地警察或警長辦公室報告,因為這可能是犯罪活動的跡象。
聯絡美國聯邦貿易委員會
如果您在任何財務帳戶中發現任何未經授權的交易,請立即通知相應的支付卡公司或金融機構。如果您發現任何身份盜竊或詐欺事件,請立即向當地執法機構、州總檢察長和聯邦貿易委員會報告此事。
您可以使用以下聯絡資料聯絡 FTC,以了解有關如何保護自己免受身份盜竊的更多資訊:
Federal Trade Commission
Consumer Response Center
600 Pennsylvania Avenue, NW
Washington, DC 20580
1-877-IDTHEFT (438-4338)
www.ftc.gov/idtheft
在您的信用檔案中設置詐欺警報
為了保護自己免受可能的身份盜竊,請考慮在您的信用檔案中設置詐欺警報。詐騙警報有助於防止身份竊賊以您的名義開立新的信用帳戶。當信用授予者檢查信用申請人的信用記錄時,信用授予者會收到通知,指出該申請人可能是身份盜竊的受害者。此警報告訴信用授予者應採取措施來驗證申請人的身份。您可以致電下面任何一個免費預防詐騙電話號碼來對您的信用報告設置詐騙警報。您將被連接到一個自動電話系統,透過該系統,將可在所有三個信用局中對您的檔案進行詐欺警報標記。
Equifax
Experian
TransUnion
P.O. Box 105069
Atlanta, Georgia
P.O. Box 2002
Allen, Texas 75013
P.O. Box 2000
Chester, PA 19016
800-525-6285
888-397-3742
800-680- 7289
www.equifax.com
www.experian.com
www.transunion.com
保安凍結
您有權向消費者報告機構免費要求信用凍結,這樣,如果不使用您啟動凍結時向您發放的 PIN 碼,則無法以您的名義開立新的信用額度。保安凍結旨在防止潛在的信用授予者在未經您同意的情況下存取您的信用報告。如果您要求保安凍結,潛在債權人和其他第三方將無法存取您的信用報告,除非您暫時解除凍結。因此,使用保安凍結可能會延遲您獲得信用額度的能力。
與詐欺警報不同,您必須個別要求每個信用局對您的信用檔案進行保安凍結。若要對您的信用報告進行保安凍結,您必須透過電話、郵件或安全的電子方式聯絡信用報告機構,並提供正確的身份證明。申請保安凍結時必須提供以下資料(請注意,如果您正在為您的配偶申請信用報告,也必須為他/她提供此資料):(1)全名,包括中間名首字母和任何後綴;(2)社會安全號碼;(3)出生日期;(4)現住址及過去五年的住址;(5)任何向執法機關或機動車輛登記處提出的適用事件報告或投訴。該申請還必須包括政府頒發的身份證副本及最近的水電費賬單或者銀行或保險對帳單的副本。每份副本都必須清晰易讀,並顯示您的姓名和當前郵寄地址以及簽發日期。
以下是三個消費者報告機構的聯絡資料:
Equifax
Experian
TransUnion
P.O. Box 105069
Atlanta, Georgia
P.O. Box 2002
Allen, Texas 75013
P.O. Box 2000
Chester, PA 19016
800-525-6285
888-397-3742
800-680- 7289
www.equifax.com
www.experian.com
www.transunion.com
當您提交申請後,信用報告機構必須在透過電話或安全的電子方式收到申請後的 1 個工作天內,以及透過郵件收到申請後的 3 個工作天內執行保安凍結。在保安凍結後的五個工作天內,信用報告機構將向您發送確認以及有關您將來如何解除凍結的資料。
適用於哥倫比亞特區居民
您可以聯絡華盛頓特區總檢察長辦公室,以獲取有關避免身份被盜用的步驟的資料:
D.C. Attorney General’s Office, Office of Consumer Protection, 400 6th Street, NW, Washington, DC 20001, 1-202-442-9828, www.oag.dc.gov。
適用於愛荷華州居民
您可以聯繫執法部門或愛荷華州總檢察長辦公室報告可疑的身份盜竊事件。愛荷華州總檢察長辦公室的聯絡資訊為:
Iowa Attorney General’s Office, Director of Consumer Protection Division, 1305 E. Walnut Street, Des Moines, IA 50319, 1-515-281-5926, www.iowattorneygeneral.gov。
適用於馬里蘭州居民
您也可以透過馬里蘭州總檢察長辦公室獲取有關預防和避免身份盜竊的資料:
Maryland Office of the Attorney General, Consumer Protection Division, 200 St. Paul Place, Baltimore, MD 21202, 1-888-743-0023, www.marylandattorneygeneral.gov。
適用於新墨西哥州居民
新墨西哥州消費者有權獲得保安凍結或提交刪除聲明。
您可以對您的信用報告進行保安凍結,以保護您的隱私,並確保不會在您不知情的情況下以您的名義授予信用。您可以提交刪除聲明,以刪除您的信用報告中因您身份被盜竊而被記錄的資料。您有權根據《公平信用報告和身份安全法》對您的信用報告進行保安凍結或提交刪除聲明。
保安凍結將禁止消費者報告機構在未經您明確授權或批准的情況下發佈您信用報告中的任何資料。
保安凍結旨在防止未經您同意而以您的名義批准信貸、貸款和服務。當您對您的信用報告進行保安凍結時,如果您選擇取消您的信用報告凍結或暫時授權將您的信用報告發布給其他人,您將獲得一個個人識別碼、密碼或類似設備供您使用。若要解除凍結或授權暫時發布您的信用報告,您必須聯絡消費者報告機構並提供以下所有資料:
(1) 消費者報告機構提供的唯一個人識別碼、密碼或類似設備;
(2) 可驗證您的身份的適當身份證件;和
(3) 有關將接收信用報告的第三方的資料,或可以向信用報告的使用者發布信用報告的時限。
消費者報告機構應在收到消費者暫時解除信用報告凍結的請求後三個工作天內滿足該請求。自 2008 年 9 月 1 日起,消費者報告機構應在收到透過安全的電子方式或電話提出的請求後十五分鐘內滿足請求。
保安凍結並不適用於所有情況,例如如果您擁有現有帳戶關係,且您現有債權人或其代理人要求您提供信用報告副本以進行某些類型的帳戶審查、催收、詐欺控製或類似活動;用於設定或調整保險費率或理賠或保險承保;出於某些政府目的;以及用於聯邦《公平信用報告法》中定義的預篩選目的。
如果您正在積極尋求新的信用額度或貸款,以及水電、電話或保險帳戶,您應該了解解除保安凍結所涉及的程序可能會減慢您的信用申請速度。您應該提前計劃並解除凍結,無論是完全解除凍結以進行選購,還是專門對某個債權人解除凍結,都請在申請新的信用額度時適當提前要求解除凍結,以確保解除凍結已生效。您應該在申請前至少三個工作天聯繫消費者報告機構並要求其解除凍結。自 2008 年 9 月 1 日起,如果您透過安全的電子方式或電話聯絡消費者報告機構,消費者報告機構應在十五分鐘內解除凍結。您有權對侵犯您根據《公平信用報告和身份安全法》享有的權利的消費者報告機構提出民事訴訟。
適用於紐約州居民
您也可以透過紐約總檢察長辦公室獲取有關安全漏洞應對措施以及身份盜竊預防和保護的資料:
Office of the Attorney General, The Capitol, Albany, NY 12224-0341, 1-800-771-7755, www.ag.ny.gov。
適用於北卡羅萊納州居民
您也可以透過北卡羅萊納州總檢察長辦公室獲取有關預防和避免身份盜竊的資料:
North Carolina Attorney General’s Office, Consumer Protection Division, 9001 Mail Service Center, Raleigh, NC 27699-9001, 1-919-716-6000, www.ncdoj.gov。
適用於俄勒岡州居民
州法律建議您向執法部門以及聯邦貿易委員會報告任何可疑的身份盜竊行為。俄勒岡州司法部的聯絡資料如下:
Oregon Department of Justice, 1162 Court Street NE, Salem, OR 97301, 1-877-877-9392, www.doj.state.or.us。
適用於羅德島州居民
您有權提交或取得與此事件相關的警方報告。您也可以透過羅德島州總檢察長辦公室獲取有關預防和避免身份盜竊的資料:
Office of the Attorney General, 150 South Main Street, Providence, RI 02903, 1-401-274-4400, www.raig.ri.gov。