İkiden fazla Amerika Birleşik Devletleri’ndeki milyonlarca kişi, kişisel ve hassas sağlık bilgilerinin bu yılın başlarında çevrimiçi eczane girişimi Truepill’in ana şirketi Postmeds’e yapılan bir siber saldırı sırasında çalındığına dair bildirim alacak.
Etkilenenlerden bazıları, bırakın şirketin veri ihlali sırasında hassas kişisel ve sağlık bilgilerini kaybetmesini, Postmeds’i ilk kez duyuyor.
Veri ihlali haberi, daha önce müşterilerinin reçetelerini yerine getirmek için Postmeds’e güvenen hazırlıksız sağlık hizmeti girişimlerini de yakaladı.
Postmeds veya Truepill, ünlü telesağlık hizmetleri ve diğer eczaneler için reçeteleri dolduran ve ilaçları müşterilerine postayla gönderen çevrimiçi bir eczane sipariş karşılama girişimidir. Postmeds, Truepill aracılığıyla Folx, Hims ve GoodRx’in müşterileri ve son yıllarda ortaya çıkan diğer popüler çevrimiçi tele-sağlık girişimleri için reçeteleri yerine getirdi.
Postmeds’i hiç duymamış olsanız bile şirket reçetelerinizden birini doldurmuş ve bilgilerinizi ele almış olabilir. Truepill’in web sitesi, 2016’daki kuruluşundan bu yana üç milyon kişiye 20 milyon reçete dağıttığını söylüyor.
Postmeds geçtiğimiz günlerde federal düzenleyicilere yasal olarak gerekli bir bildirimde bulunarak 2,3 milyon kişinin kişisel bilgilerinin ihlal nedeniyle çalındığını bildirdi. Şirket, Kasım ayı başlarında etkilenen kişilere yazılı bildirimler göndermeye başladı.
Veri ihlali “büyük bir risk teşkil ediyor”
onun içinde veri ihlali bildirimiPostmeds, bilgisayar korsanlarının hasta isimleri ve doğum tarihleri gibi demografik bilgiler, reçeteli ilaçların türü ve reçeteyi yazan kişinin adı gibi bir dizi hassas veriyi çaldığını söyledi. Bazı durumlarda bu bilgiler, kişinin zihinsel, cinsel ve üreme sağlığına ilişkin ayrıntılar gibi son derece hassas tıbbi bilgilerini içerebilen ilacı alma nedenini ortaya çıkarabilir.
Veri ihlali bildirim mektupları alanların bir kısmı TechCrunch’a Postmeds’e aşina olmadıklarını ve şirketin bu bilgilere neden sahip olduğunu söyledi.
Ortağı veri ihlali bildirimi alan eski bir Folx müşterisi, TechCrunch’a “Ben ve ortağım aynı zamanda ikimizin de Folx hastası olduğu örtüşen zamanlar yaşadık, ancak hiçbir mektup almadım” dedi.
Folx Health, cinsiyet onaylayıcı bakımı destekleyen ilaçları reçete edebilen klinisyenlerin bulunduğu LGBTQIA+ topluluğuna hizmet veren bir tele-sağlık şirketidir. Folx, daha önce müşteri reçetelerini yerine getirmek için Truepill’i kullandığını söyledi.
Folx baş işletme sorumlusu Dana Clayton, TechCrunch’ın yorumuna ulaştığında TechCrunch’a şunları söyledi: “Folx, Truepill ile olan ilişkisini Kasım 2022’de sonlandırdı. Olayla ilgili olarak Truepill ile iletişim halindeyiz ve üyelerimiz üzerindeki olası etkiyi hızlı bir şekilde değerlendirmek için çalışıyoruz. ”
“İlk paketimi aldıktan ve Folx’tan kutunun üzerinde ‘Truepill’ ibaresini gördüğümde, kendi adıma geç de olsa verilerimin kişisel olarak güven ilişkisi kurmadığım bir kuruluşa gönderildiğini fark ettim.” Eski Folx müşterisi
“Diğer sağlık şirketleri gibi biz de üye tercihi, ilaçların bulunabilirliği, maliyet ve diğer faktörlere bağlı olarak çok çeşitli eczanelere reçete gönderiyoruz. Folx, üyelerinin gizliliğini ciddiye alıyor ve ortaklarını en katı güvenlik standartlarına bağlı tutuyor” dedi Clayton. “Truepill’in veri ihlali bizim için büyük bir hayal kırıklığı ve endişe kaynağı oldu ve Folx, daha fazlasını öğrendikçe üyelerimizi bilgilendirmeye kararlıdır.”
Siber güvenlik alanında çalışan eski Folx müşterisi TechCrunch’a, veri ihlalinin “özellikle verilerin tehlikeye atılmasıyla çok daha fazlasını kaybedecek bir topluluk için büyük bir risk teşkil ettiğini” söyledi.
Postmeds, veri ihlali bildiriminin ötesinde kamuya açık bir yorumda bulunmadı. TechCrunch, Postmeds genel müdürü Paul Greenall’dan bir e-postayla Postmeds’in ortaklık yaptığı ve müşterileri etkilenen şirketlerin bir listesini vermesini istedi. Greenall yanıt vermedi.
Veri ihlali bildirim mektubu alan başka bir kişi, müşterilerinin kan şekeri ölçüm cihazı reçetelerini yerine getirmek için Truepill’e güvenen metabolik sağlık girişimi Levels Health tarafından yaklaşık bir yıl önce kendisine sürekli glikoz monitörü reçete edildiğini söyledi.
TechCrunch ile iletişime geçtiğinde Levels, ABD’deki müşterilerinin Postmeds ihlalinden etkilenip etkilenmediğini söylemedi.
Levels’ı üçüncü taraf bir ajans aracılığıyla temsil eden Kate Burton-Barlow, bir e-postada Levels’ın “daha önce Birleşik Krallık’ta Truepill ile gelecekteki bir Birleşik Krallık lansmanı beklentisiyle bir ilişki kurduğunu, ancak bu lansman gerçekleşmediğini, dolayısıyla Levels’ın Birleşik Krallık’ta bundan etkilenebilecek müşterimiz var mı?”
TechCrunch, ilaçları dağıtmak ve postalamak için Truepill’e güvenen birkaç sağlık şirketiyle temasa geçti.
TechCrunch tarafından yorum almak üzere ulaşıldığında Hims sözcüsü Khobi Brooklyn, müşteri verilerinin Truepill’in dahil olduğu ihlalden etkilendiğine itiraz etmedi. Sözcü, kaç Hims müşterisinin etkilendiğini söylemedi ancak tüm Hims müşterilerinin reçetelerinin Truepill tarafından doldurulmadığını kaydetti.
“Müşteri hizmetleri ve veri güvenliği Hims & Hers’te en önemli önceliklerdir; her ikisine de büyük yatırım yaptık ve rekorumuzla gurur duyuyoruz. Bu, sistemlerimizin veya verilerimizin ihlali olmasa da, müşterilerimizi korumak için attığımız adımlar konusunda dikkatli olmaya devam etmemiz gerektiğini hatırlatıyor” dedi Brooklyn.
Akıl sağlığı sorunlarına yönelik tele-sağlık hizmetleri ve reçeteli ilaçlar sağlayan tele-sağlık girişimi Cerebral, TechCrunch’a 2022’den bu yana Truepill ile bir iş ilişkisinin olmadığını veya hasta bilgilerini paylaşmadığını söyledi. “Bugüne kadar herhangi bir ihlal bildirimi görmedik ve biz herhangi bir Serebral hastasının buna inanmak için hiçbir nedeni yok [protected health information] Cerebral sözcüsü Brittney Henderson bir e-postada, “izin verilemez bir şekilde ifşa edildi veya erişildi” dedi. (Cerebral, bu yılın başlarında milyonlarca hastanın verilerini birkaç yıldır reklamverenlerle paylaştığını ayrıca açıklamıştı.)
Truepill ile çalışan diğer birkaç eczane, yayınlanmadan önce TechCrunch ile iletişime geçtiğinde yorum yapmadı.
Mark Cuban tarafından kurulan ve müşterilere ilaç göndermek için Truepill’e güvenen düşük maliyetli çevrimiçi eczane CostPlus, yorum taleplerine yanıt vermedi. Küba Truepill’e açıklanmayan miktarda yatırım yaptı 2023’ün başlarında.
Sağlık ve reçete kuponu devi GoodRx posta dağıtım ortağı olarak Truepill’e güveniyor. GoodRx sözcüsü Lauren Casparis yorum taleplerine yanıt vermedi.
TechCrunch, reçeteyle sürekli glikoz ölçümleri sağlayan bir teknoloji girişimi olan Nutrisense’in bazı siparişleri yerine getirmek için Truepill’i kullandığını öğrendi. Nutrisense CEO’su Alex Skryl, yorum isteyen bir e-postaya yanıt vermedi.
HIPAA bağlantısı
Teknoloji veya sağlık şirketlerinin, hizmetlerini yerine getirmek için hasta verilerini üçüncü taraf veya özel eczaneler gibi diğer şirketlerle paylaşması alışılmadık bir durum değildir.
Doktor muayenehaneleri ve eczaneler gibi ABD’deki sağlık hizmeti sağlayıcıları ve sigorta şirketleri, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’nda (HIPAA) belirtilen ve sağlık hizmeti sağlayıcılarının hasta verilerinin güvenliğini ve mahremiyet. HIPAA’nın faulü ağır para cezalarına neden olabilir.
Ancak birçok tele-sağlık startup’ı, HIPAA kapsamında “kapsamlı kuruluşlar” olarak kabul edilmiyor ve HIPAA çoğu zaman geçerli değil çünkü startup’lar bakım hizmeti sunmuyor, bunun yerine hastaları sağlık hizmeti sağlayıcılarıyla buluşturuyor.
Tüketici Raporlarının belirttiği gibiHIPAA “sağlık hizmeti sağlayıcıları ve sigorta şirketlerinin kişisel olarak tanımlanabilir tıbbi verileri işlerken uymaları gereken gizlilik kurallarını ortaya koyuyor” ancak bir doktorun muayenehanesinde korunan aynı bilgi parçası “başka ortamlarda tamamen düzenlenmemiş olabilir.”
Hem Hims hem de Cerebral, gizlilik politikalarında eyalet gizlilik yasalarının geçerli olabileceğini ancak HIPAA’nın “sadece sağlık bilgileri içerdiği için bir kuruluş veya kişi için mutlaka geçerli olmadığını” belirtiyor. “HIPAA uyumlu” olduklarını söyleyen şirketler, HIPAA’nın kendileri için geçerli olmadığı anlamına gelebilir.
ABD’nin ulusal bir veri güvenliği veya gizlilik yasası yoktur ve bunun yerine eyaletten eyalete değişen eyalet yasalarından oluşan bir yama çalışmasına güvenmektedir. Amerikalıların çoğu, bir kişinin bilgilerinin paylaşılmasına karşı çok az korumanın olduğu veya hiç korumanın olmadığı eyaletlerde yaşıyor.
Bunun yerine şirketler genellikle müşteri veya hasta verilerini nasıl ele aldıklarını gizlilik politikalarında açıklıyor ancak hangi şirketlerle çalıştıklarını açıklamak zorunda değiller.
Postmeds’ten veri ihlali bildirim mektupları alan ve bu hikaye için bizimle konuşan iki kişi, reçetelerini veren şirketleri, iş ortaklarının kim olduğu ve bu ortaklardan hangisinin hassas kişisel bilgilerini alacağı konusunda şeffaflık eksikliği nedeniyle eleştirdi.
“İlk paketimi aldıktan ve Folx’tan kutunun üzerinde ‘Truepill’ ibaresini gördüğümde, açıkçası geç de olsa verilerimin kişisel olarak güven ilişkisi kurmadığım bir kuruluşa gönderildiğini fark ettim.” eski Folx kullanıcısı TechCrunch’a söyledi.
Reddit’teki bazı başlıklarda Postmeds’ten veri ihlali bildirimleri alan ancak bilgilerini hangi şirketin Postmeds’e sağladığından emin olmayan kişilerden yorumlar var.
Bir kişi, “Bu mektubu yeni aldım ve bunun hangi doktor aracılığıyla olabileceğine dair hiçbir fikrim yok” dedi. “Bu mektubu da aldım. Şirket hakkında bilgi yok” dedi bir başkası.
Bu ihlal, zor durumdaki Truepill’in başına gelen son olay.
Truepill, 2022’de ürün ekibinin büyük bir kısmı ve Birleşik Krallık’taki tüm çalışanlar da dahil olmak üzere birkaç kez işten çıkarmalar yaşadı. Eylül ayında Truepill’in kurucu ortağı Sid Viswanathan, şirketten atıldı.
Bu ayın başlarında Truepill, ABD Uyuşturucuyla Mücadele İdaresi’nin iddialarıyla anlaştı. Kontrole tabi maddeler için yasa dışı olarak binlerce reçete dağıtıldıTruepill “kayıtsız bir çevrimiçi eczane işletme sorumluluğunu kabul etti.”
Postmeds/Truepill ihlalinden etkilenen bir sağlık kuruluşunda mı çalışıyorsunuz? Zack Whittaker ile Signal ve WhatsApp üzerinden +1 646-755-8849 numaralı telefondan veya e-posta yoluyla iletişime geçebilirsiniz; +441536 853968 numaralı telefondan Signal üzerinden veya e-posta yoluyla da Carly Page ile güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.