Cerebral, một công ty khởi nghiệp chăm sóc sức khỏe từ xa chuyên về sức khỏe tâm thần, cho biết họ đã vô tình chia sẻ thông tin nhạy cảm của hơn 3,1 triệu bệnh nhân với Google, Meta, TikTok và các nhà quảng cáo bên thứ ba khác, như đã báo cáo trước đó bởi TechCrunch. TRONG một ghi chú được đăng trên trang web của công ty, Cerebral thừa nhận đã tiết lộ danh sách dữ liệu bệnh nhân đã được giặt sạch bằng các công cụ theo dõi mà nó đã sử dụng từ tháng 10 năm 2019.
Thông tin bị ảnh hưởng bởi việc giám sát bao gồm mọi thứ từ tên bệnh nhân, số điện thoại, địa chỉ email, ngày sinh, địa chỉ IP, thông tin bảo hiểm, ngày hẹn, điều trị, v.v. Nó thậm chí có thể hiển thị các câu trả lời mà khách hàng điền vào như một phần của bản tự đánh giá sức khỏe tâm thần trên trang web và ứng dụng của công ty, mà bệnh nhân có thể sử dụng để lên lịch các cuộc hẹn trị liệu và nhận thuốc theo toa.
Theo Cerebral, thông tin này được lấy ra thông qua việc sử dụng các pixel theo dõi hoặc các đoạn mã Meta, TikTok và Google cho phép các nhà phát triển nhúng vào ứng dụng và trang web của họ. Các Siêu điểm ảnhví dụ: có thể thu thập dữ liệu về hoạt động của người dùng trên trang web hoặc ứng dụng sau khi nhấp vào quảng cáo trên nền tảng và thậm chí theo dõi thông tin mà người dùng điền vào biểu mẫu trực tuyến. Mặc dù điều này cho phép các công ty, như Cerebral, đo lường cách người dùng tương tác với quảng cáo của họ trên nhiều nền tảng khác nhau và theo dõi các bước họ thực hiện sau đó, nhưng nó cũng cấp cho Meta, TikTok và Google quyền truy cập vào thông tin này. Sau đó, họ có thể sử dụng thông tin này để hiểu rõ hơn về chính mình. người dùng riêng.
Thông tin được tiết lộ có thể “thay đổi” từ bệnh nhân này sang bệnh nhân khác.
Như Cerebral đã lưu ý, thông tin bị lộ có thể “thay đổi” tùy theo từng bệnh nhân tùy thuộc vào một số yếu tố, bao gồm “những hành động mà các cá nhân đã thực hiện trên Nền tảng của Cerebral, bản chất của các dịch vụ do Nhà thầu phụ cung cấp, cấu hình của Công nghệ theo dõi,” v.v. . Công ty cho biết họ sẽ thông báo cho những người dùng bị ảnh hưởng và nói thêm rằng “bất kể một cá nhân tương tác với nền tảng của Cerebral như thế nào” thì nó cũng không tiết lộ số an sinh xã hội, số thẻ tín dụng hoặc thông tin tài khoản ngân hàng.
Sau khi lần đầu tiên tìm thấy lỗ hổng bảo mật vào tháng 1, Cerebral cho biết họ đã “vô hiệu hóa, định cấu hình lại và/hoặc xóa” bất kỳ pixel theo dõi nào trên nền tảng để tránh bị lộ trong tương lai và đã “nâng cao” “các quy trình kiểm tra công nghệ và quy trình bảo mật thông tin”. .”
Luật pháp yêu cầu Cerebral tiết lộ các hành vi vi phạm có thể xảy ra đối với HIPAA, còn được gọi là Đạo luật về trách nhiệm giải trình và cung cấp dịch vụ bảo hiểm y tế. Điều này cấm các nhà cung cấp dịch vụ chăm sóc sức khỏe tiết lộ thông tin bệnh nhân cho bất kỳ ai khác ngoài bệnh nhân hoặc bất kỳ ai mà bệnh nhân đã đồng ý nhận thông tin về sức khỏe của họ. Vi phạm hiện đang được Văn phòng Dân quyền Hoa Kỳ điều tra và theo dõi các sự cố tương tự liên quan đến các công cụ theo dõi pixel.
Năm ngoái, một cuộc điều tra của đánh dấu phát hiện ra rằng một số bệnh viện hàng đầu của quốc gia đang gửi thông tin bệnh nhân nhạy cảm đến Meta thông qua pixel của công ty. Điều này đã gây ra hai vụ kiện tập thể cáo buộc Meta và các bệnh viện được đề cập đã vi phạm luật riêng tư y tế.
Vài tháng sau, đánh dấu cũng nhận thấy rằng Meta có thể thu thập thông tin tài chính về người dùng thông qua các công cụ theo dõi được nhúng trong các dịch vụ thuế phổ biến, chẳng hạn như H&R Block, TaxAct và TaxSlayer. Trong khi đó, các công ty y tế trực tuyến khác, như BetterHelp và GoodRx, đã bị FTC phạt nặng vì chia sẻ dữ liệu nhạy cảm của bệnh nhân với bên thứ ba vào đầu năm nay.
Ngoài việc phải đối mặt với sự giám sát xem có vi phạm các quy định của HIPAA hay không, Cerebral đang phải đối mặt với cuộc điều tra của Bộ Tư pháp và Cục Quản lý Thực thi Dược phẩm về việc kê đơn các chất bị kiểm soát, chẳng hạn như Adderall và Xanax. Kể từ đó, nó đã tạm dừng việc kê đơn các loại thuốc này.
Nguồn: www.theverge.com