Η Cerebral παραδέχεται ότι μοιράζεται δεδομένα ασθενών με τη Meta, την TikTok και την Google

Απόδοση τέχνης διαφανούς φορητού υπολογιστή μπροστά από έναν τοίχο με μάτια που παρακολουθούν. — Φωτογραφία της Amelia Holowaty Krales / The Verge

Η Cerebral, μια startup τηλε-υγείας που ειδικεύεται στην ψυχική υγεία, λέει ότι μοιράστηκε κατά λάθος τις ευαίσθητες πληροφορίες περισσότερων από 3,1 εκατομμυρίων ασθενών με την Google, τη Meta, την TikTok και άλλους διαφημιστές τρίτων, όπως αναφέρθηκε νωρίτερα από TechCrunch. Σε μια ειδοποίηση που δημοσιεύτηκε στον ιστότοπο της εταιρείας, η Cerebral παραδέχεται ότι έχει αποκαλύψει μια λίστα πλυντηρίων δεδομένων ασθενών με τα εργαλεία παρακολούθησης που χρησιμοποιούσε ήδη από τον Οκτώβριο του 2019.

Οι πληροφορίες που επηρεάζονται από την επίβλεψη περιλαμβάνουν τα πάντα, από ονόματα ασθενών, αριθμούς τηλεφώνου, διευθύνσεις email, ημερομηνίες γέννησης, διευθύνσεις IP, πληροφορίες ασφάλισης, ημερομηνίες ραντεβού, θεραπεία και πολλά άλλα. Μπορεί ακόμη και να έχει αποκαλύψει τις απαντήσεις που συμπλήρωσαν οι πελάτες ως μέρος της αυτοαξιολόγησης ψυχικής υγείας στον ιστότοπο και την εφαρμογή της εταιρείας, τις οποίες οι ασθενείς μπορούν να χρησιμοποιήσουν για να προγραμματίσουν ραντεβού θεραπείας και να λάβουν συνταγογραφούμενα φάρμακα.

Σύμφωνα με την Cerebral, αυτές οι πληροφορίες προέκυψαν μέσω της χρήσης εικονοστοιχείων παρακολούθησης ή των κομματιών του κώδικα Meta, TikTok και Google που επιτρέπουν στους προγραμματιστές να ενσωματώνουν τις εφαρμογές και τους ιστότοπούς τους. Το Meta Pixel, για παράδειγμα, μπορεί να συλλέξει δεδομένα σχετικά με τη δραστηριότητα ενός χρήστη σε έναν ιστότοπο ή μια εφαρμογή αφού κάνει κλικ σε μια διαφήμιση στην πλατφόρμα και ακόμη παρακολουθεί τις πληροφορίες που συμπληρώνει ένας χρήστης σε μια ηλεκτρονική φόρμα. Αν και αυτό επιτρέπει σε εταιρείες, όπως η Cerebral, να μετρούν τον τρόπο με τον οποίο οι χρήστες αλληλεπιδρούν με τις διαφημίσεις τους σε διάφορες πλατφόρμες και να παρακολουθούν τα βήματα που κάνουν στη συνέχεια, παρέχει επίσης στη Meta, το TikTok και την Google πρόσβαση σε αυτές τις πληροφορίες, τις οποίες στη συνέχεια μπορούν να χρησιμοποιήσουν για να αποκτήσουν πληροφορίες για δικούς τους χρήστες.

Όπως σημειώθηκε από την Cerebral, οι εκτιθέμενες πληροφορίες μπορεί να «διαφέρουν» από ασθενή σε ασθενή ανάλογα με διάφορους παράγοντες, όπως «τι ενέργειες έκαναν τα άτομα στις πλατφόρμες της Cerebral, τη φύση των υπηρεσιών που παρέχονται από τους υπεργολάβους, τη διαμόρφωση των τεχνολογιών παρακολούθησης» και άλλα . Η εταιρεία λέει ότι θα ειδοποιήσει τους επηρεαζόμενους χρήστες και προσθέτει ότι «ανεξάρτητα από το πώς ένα άτομο αλληλεπιδρούσε με την πλατφόρμα της Cerebral», δεν αποκάλυψε αριθμούς κοινωνικής ασφάλισης, αριθμούς πιστωτικών καρτών ή στοιχεία τραπεζικού λογαριασμού.

Αφού εντόπισε αρχικά την τρύπα ασφαλείας τον Ιανουάριο, η Cerebral λέει ότι έχει «απενεργοποιήσει, επαναδιαμορφώσει και/ή αφαιρέσει» οποιοδήποτε από τα εικονοστοιχεία παρακολούθησης στην πλατφόρμα για να αποτρέψει μελλοντικές εκθέσεις και έχει «βελτιώσει» τις «πρακτικές ασφάλειας πληροφοριών και τις διαδικασίες ελέγχου τεχνολογίας». .»

Η Cerebral υποχρεούται από το νόμο να αποκαλύπτει πιθανές παραβιάσεις της HIPAA, γνωστής και ως νόμος περί φορητότητας και λογοδοσίας ασφάλισης υγείας. Αυτό εμποδίζει τους παρόχους υγειονομικής περίθαλψης να αποκαλύπτουν πληροφορίες για τον ασθενή σε οποιονδήποτε άλλο εκτός από τον ασθενή ή σε οποιονδήποτε έχει συναινέσει ο ασθενής να λάβει πληροφορίες για την υγεία του. Η παραβίαση βρίσκεται υπό έρευνα από το Γραφείο Πολιτικών Δικαιωμάτων των ΗΠΑ και ακολουθεί παρόμοια περιστατικά που αφορούν εργαλεία παρακολούθησης εικονοστοιχείων.

Πέρυσι, μια έρευνα από Η Σήμανση διαπίστωσε ότι ορισμένα από τα κορυφαία νοσοκομεία της χώρας έστελναν ευαίσθητες πληροφορίες ασθενών στη Meta μέσω του pixel της εταιρείας. Αυτό πυροδότησε δύο ομαδικές αγωγές, οι οποίες ισχυρίζονται ότι ο Μέτα και τα εν λόγω νοσοκομεία παραβίασαν τους νόμους περί ιατρικού απορρήτου.

Μήνες αργότερα, Η Σήμανση Διαπίστωσε επίσης ότι η Meta ήταν σε θέση να λάβει οικονομικές πληροφορίες σχετικά με τους χρήστες μέσω των εργαλείων παρακολούθησης που είναι ενσωματωμένα σε δημοφιλείς φορολογικές υπηρεσίες, όπως το H&R Block, το TaxAct και το TaxSlayer. Εν τω μεταξύ, άλλες διαδικτυακές ιατρικές εταιρείες, όπως η BetterHelp και η GoodRx επιβλήθηκαν υψηλά πρόστιμα από την FTC για κοινή χρήση ευαίσθητων δεδομένων ασθενών με τρίτους νωρίτερα αυτό το έτος.

Εκτός από τον έλεγχο για το εάν έχει παραβιάσει ή όχι τους κανονισμούς HIPAA, η Cerebral αντιμετωπίζει έρευνα από το Υπουργείο Δικαιοσύνης και την Υπηρεσία Δίωξης Ναρκωτικών σχετικά με τη συνταγογράφηση ελεγχόμενων ουσιών, όπως το Adderall και το Xanax. Έκτοτε έχει σταματήσει τη συνταγογράφηση αυτών των φαρμάκων.