Zdravstveni osiguravač Blue Shield of California obavještava oko 4.7 miliona ljudi da su njihovi zaštićeni zdravstveni podaci (PHI) bili izloženi kompaniji Google tokom više godina.
Organizacija navodi da je do povrede podataka došlo usljed pogrešne konfiguracije veb sajta, što je dovelo do dijeljenja podataka članova sa oglašivačkom službom Google Ads.
Blue Shield of California koristio je Google Analytics za interno praćenje korišćenja veb sajta na određenim stranicama, „kako bi poboljšali usluge“ koje nude članovima, saopštila je kompanija.
„Dana 11. februara 2025. godine, Blue Shield je otkrio da je, između aprila 2021. i januara 2024. godine, Google Analytics bio konfigurisan na način koji je omogućio dijeljenje određenih podataka članova sa oglašivačkim proizvodom kompanije Google, Google Ads, što je vjerovatno uključivalo i zaštićene zdravstvene informacije“, saopštio je zdravstveni osiguravač ranije ovog mjeseca.
Blue Shield of California navodi da je veza između Google Analytics-a i Google Ads-a na njihovom sajtu prekinuta u januaru 2024. godine, čime je zaustavljeno curenje podataka.
Potencijalno izložene informacije uključuju imena, broj članova porodice, detalje osiguravajućeg plana, grad i poštanski broj, identifikatore naloga, detalje medicinskih zahtjeva, finansijsku odgovornost pacijenata i informacije o pretrazi ljekara.
„Google je možda koristio ove podatke za ciljanje reklamnih kampanja prema tim pojedinačnim članovima. Želimo da uvjerimo naše članove da nijedan haker nije bio uključen, i, prema našim saznanjima, Google nije koristio informacije ni u koju drugu svrhu osim za te oglase, niti je dijelio zaštićene podatke sa bilo kim“, saopštila je kompanija.
Lični podaci poput broja socijalnog osiguranja i broja vozačke dozvole nijesu bili izloženi, kao ni bankovni ili podaci sa kreditnih kartica, navodi kompanija.
Blue Shield of California je otkrio povredu podataka ranije ovog mjeseca, bez navođenja tačnog broja pogođenih osoba. Međutim, ove sedmice, ažuriranje na portalu američkog Ministarstva zdravlja i ljudskih usluga o povredama podataka otkrilo je da incident vjerovatno pogađa 4.7 miliona ljudi.
„Ovo nije samo tehnička greška. Ovo je kršenje HIPAA propisa. Zaštićeni zdravstveni podaci nikada ne bi smjeli biti poslati na platforme poput Google Ads ili Analytics, posebno bez izričitog pristanka pacijenata i odgovarajućih ugovora o poslovnoj saradnji (BAAs)“, izjavio je Ensar Seker, direktor bezbjednosti informacija kompanije SOCRadar, u komentaru putem e-pošte.
„Ono što posebno zabrinjava jeste dužina izloženosti. Skoro tri godine prije nego što je greška identifikovana i ispravljena. To ukazuje na sistemsku prazninu u vidljivosti protoka podataka, vođenju evidencije i nadzoru nad trećim stranama. Mnoge zdravstvene organizacije nesvjesno uvode rizik putem pratilaca na sajtovima, piksel tagova i marketinških skripti. To su alati standardni u e-trgovini, ali opasno neprikladni u regulisanim okruženjima poput zdravstvene zaštite“, nastavlja Seker.
Zaista, incident sa Blue Shield of California nije usamljen. U oktobru 2022. godine, neprofitni zdravstveni provajder Advocate Aurora Health otkrio je da je pogrešno podešen pratilac izložio zaštićene zdravstvene podatke 3 miliona ljudi Facebook-u i Google-u.
Izvor: SecurityWeek
