A Blue Shield of California divulgou que sofreu uma violação de dados após expor informações de saúde protegidas de 4,7 milhões de seus membros às plataformas de analytics e publicidade do Google.
A operadora de saúde sem fins lucrativos, que atende quase 6 milhões de membros em todo o estado da Califórnia, publicou uma notificação de violação de dados em seu site informando que os dados dos membros foram expostos entre abril de 2021 e janeiro de 2024.
O portal de violações do Department of Health and Human Services dos Estados Unidos foi atualizado para indicar que o vazamento expôs os dados de saúde protegidos de 4,7 milhões de membros.
De acordo com o aviso, a exposição foi causada por uma má configuração do Google Analytics em certos sites da Blue Shield.
Isso resultou em dados sensíveis potencialmente compartilhados com plataformas de publicidade do Google e anunciantes.
"Em 11 de fevereiro de 2025, a Blue Shield descobriu que, entre abril de 2021 e janeiro de 2024, o Google Analytics foi configurado de maneira que permitiu o compartilhamento de certos dados dos membros com o produto de publicidade do Google, o Google Ads, que provavelmente incluía informações de saúde protegidas", diz o aviso.
O Google pode ter usado esses dados para conduzir campanhas publicitárias focadas de volta a esses membros individuais.
Os tipos de dados expostos como resultado da má configuração incluem:
- Nome do plano de seguro
- Tipo e número do grupo
- Cidade e CEP
- Gênero
- Tamanho da família
- Identificadores atribuídos pela Blue Shield para contas online dos membros
- Data do serviço de reclamação médica e prestador de serviço, nome do paciente e responsabilidade financeira do paciente
- Critérios de pesquisa e resultados do "Encontre um Médico" (localização, nome e tipo do plano, nome e tipo do prestador)
A Blue Shield observou que outras informações pessoais, como números de Seguro Social, números de carteira de motorista, informações bancárias e de cartão de crédito, não foram expostas como resultado deste incidente.
Ainda assim, recomenda-se que os membros fiquem vigilantes e monitorarem de perto seus extratos de conta e relatórios de crédito para identificar atividades não autorizadas/suspeitas.
A organização não ofereceu serviços de proteção contra roubo de identidade, e não está claro se notificações individuais serão enviadas aos membros impactados no futuro.
Este é o segundo incidente de TI em larga escala divulgado pela Blue Shield of California em menos de um ano.
No ano passado, quase um milhão de membros do plano de saúde tiveram seus dados roubados por atores do ransomware BlackSuit que violaram o provedor de soluções de software da organização, a Connexure (anteriormente Young Consulting).
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...