A plataforma de cuidados de saúde Cerebral está enviando avisos de violação de dados para 3,18 milhões de pessoas que interagiram com seus sites, aplicativos e serviços de telemedicina.
A Cerebral é uma empresa de telemedicina remota que fornece terapia online e gerenciamento de medicamentos para várias condições de saúde mental, incluindo ansiedade, depressão, TDAH, transtorno bipolar e abuso de substâncias.
Em um 'Aviso de Violação de Privacidade da HIPAA' publicado no site da Cerebral esta semana, a empresa divulgou que estava usando rastreadores de pixels invisíveis do Google, Meta (Facebook), TikTok e outros terceiros em seus serviços online desde 12 de outubro de 2019.
Devido às características de registro de dados de um pixel de rastreamento, a Cerebral disse que as informações médicas sensíveis das pessoas que usaram a plataforma do provedor foram expostas a terceiros sem a permissão do paciente.
A Cerebral relatou no portal de violação do Departamento de Saúde e Serviços Humanos dos EUA que 3.179.835 pessoas tiveram suas informações expostas como parte dessa violação.
A informação divulgada aos gigantes da tecnologia e subcontratados varia para cada indivíduo, dependendo do que foi inserido na plataforma Cerebral.
Em geral, a empresa lista as seguintes informações como potencialmente expostas: nome completo, número de telefone, endereço de e-mail, data de nascimento, endereço IP, número de identificação do cliente da Cerebral, informações demográficas, respostas de autoavaliação e informações de saúde associadas, tipo de plano de assinatura, datas de consulta, detalhes do tratamento e outras informações clínicas, informações de seguro de saúde/benefícios de farmácia.
Esta informação pode ter vazado para terceiros de 12 de outubro de 2019 a 3 de janeiro de 2023, quando a empresa percebeu que os dados estavam sendo expostos por meio de pixels de rastreamento.
A Cerebral esclarece que, independentemente do nível de interação do usuário com suas plataformas, seu número de Segurança Social, informações de cartão de crédito e informações bancárias não foram afetados.
Todos os rastreadores ativos na plataforma Cerebral agora foram removidos ou reconfigurados para evitar a divulgação de dados sensíveis a terceiros que não atendam aos requisitos da HIPAA.
A empresa diz que não tem conhecimento de qualquer uso indevido das informações de saúde sensíveis.
No entanto, sugere que todas as pessoas afetadas redefinam a senha de sua conta de usuário da Cerebral por precaução.
Além disso, a empresa cobrirá os custos de monitoramento gratuito de crédito para indivíduos em risco de roubo de identidade e fraude.
Esta divulgação ocorre apenas alguns dias depois que a FTC alcançou um acordo de US$ 7,8 milhões no processo do serviço de aconselhamento online BetterHelp por compartilhar dados sensíveis de saúde médica com anunciantes como Facebook, Snapchat, Criteo e Pinterest.
No ano passado, foi revelado que vários hospitais americanos estavam usando um portal de serviço de pacientes online chamado 'MyChart', que hospedava o rastreador JavaScript de pixel Meta invisível, dando essencialmente aos anunciantes acesso aos dados médicos sensíveis de milhões.
Em julho de 2022, uma ação coletiva foi movida contra a Meta, o UCSF Medical Center e a Dignity Health Medical Foundation, alegando que as organizações estavam coletando ilegalmente dados sensíveis de saúde sobre pacientes para publicidade direcionada.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...