מידע רפואי רגיש דלף ושימש להתאמת פרסומות מותאמות אישית בגוגל
חברת ביטוח שילבה בטעות קוד שהעביר מידע רגיש לפלטפורמות של גוגל במשך שנים. ההשלכות: פרסומות ממוקדות לפי מצב רפואי עבור מיליוני אנשים
תמונה: dreamstime
בעידן בו כל תזוזה שלנו ברשת נאספת, מנותחת ונארזת חזרה כמודעה פרסומית, המידע הרפואי שלנו עדיין נחשב בעיני רוב האנשים לקו אדום. אבל עבור מיליוני לקוחות של חברת הביטוח הרפואי Blue Shield, הגבול הזה נחצה בלי שהם ידעו, וכנראה גם בלי שנתנו לכך הסכמה.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
החברה, שפועלת בקליפורניה ומשרתת כשישה מיליון לקוחות, הודתה כי מידע אישי ורגיש של כ־4.7 מיליון מהם שותף עם מערכות הפרסום והאנליטיקה של גוגל. השיתוף התרחש לאורך תקופה של כמעט שלוש שנים, מאפריל 2021 ועד ינואר 2024, ולטענת החברה, נבע מהגדרה שגויה בקוד האתר. הנתונים שדלפו כוללים ככל הנראה שמות מטופלים, פרטי ביטוח, מיקוד, מגדר, גודל משפחה, התחייבויות כספיות של המטופל, ותאריכי תביעות רפואיות לצד שמות הרופאים שטיפלו בהם. המידע נאסף דרך חיפושים בכלי "מצא רופא" באתר החברה, והועבר לגוגל דרך Google Analytics, שלאורך השנים היה מקושר גם למערכת Google Ads. המשמעות: גוגל הייתה יכולה להציג מודעות ממוקדות לאנשים שפנו לרופא סרטן, מרפאת פוריות או פסיכיאטר מבלי שהם ידעו שמידע כזה עזב את האתר.
לא ברור מי נחשף לכל המידע
בהודעה שפורסמה באתר החברה ב־9 באפריל, נכתב כי "גוגל עשויה הייתה להשתמש במידע הזה כדי לנהל קמפיינים פרסומיים ממוקדים", אך Blue Shield מיהרה להבהיר שלמיטב ידיעתה, לא הייתה מעורבות של האקרים שגילו את המידע ולא ידוע אם המידע שותף או נוצל מעבר לכך. יחד עם זאת, החברה מודה כי היא "אינה מסוגלת לאשר אם מידע של לקוח מסוים אכן נפגע", בשל היקף ומורכבות ההדלפה.
מה שבטוח כן קרה: החיבור בין Google Analytics לבין Google Ads נותק בינואר השנה. Blue Shield טוענת כי עם גילוי התקלה, בוצעה בדיקה מקיפה של האתרים ונבדקה מחדש המדיניות בנוגע לכלי מעקב חיצוניים. זוהי לא הפעם הראשונה שבה מידע רגיש דולף מ־Blue Shield. בשנה שעברה פרצו האקרים מקבוצת הכופרה BlackSuit לספקית התוכנה של החברה וגנבו מידע של כמעט מיליון מבוטחים נוספים.
על אף חומרת האירוע, החברה לא הציעה שירותי ניטור אשראי או הגנה מפני גניבת זהות, ולא ברור אם נשלחו הודעות פרטניות למבוטחים שנפגעו. גורמים בתעשייה כבר הגיעו בנושא וטענו כי לא מדובר רק בתקלה טכנית אלא בהפרה של חוקי HIPAA להגנה על פרטיות רפואית.
בעולם שבו התרגלנו למודעות שלא נותנות לנו מנוח הפעם זה לא סתם מוצר, אלא מצב רפואי. וזו כבר הפרת אמון בקנה מידה אחר לגמרי.
