Платформа дистанционной медицины Cerebral отправила уведомление об утечке конфиденциальной информации 3,1 млн своих пользователей. Компрометация конфиденциальной информации произошла в ходе некорректного использования инструментов веб-аналитики типа Pixels.
Телемедицинская платформа Cerebral предоставляет пользователям консультации по вопросам психического здоровья, помогая при таких проблемах, как тревожность, депрессия и бессонница. По итогам консультаций назначается терапевтическое лечение и выписываются препараты.
Как и многие другие компании в различных отраслях, включая телемедицину, компания Cerebral использовала Pixels и тому подобные технологии для отслеживания активности посетителей веб-ресурсов. Такие технологии ей предоставляли Google, Meta (Facebook), Tik Tok и другие платформы. Сервис Cerebral использовал инструменты отслеживания веб-аудитории с самого начала своей работы в октябре 2019 г., пока несколько лет спустя не озаботился проверкой методов обмена своими данными. В начале 2023 г. компания определила, что защищенная законом медицинская информация (PHI) был раскрыта некоторым субподрядчикам без получения необходимых гарантий соблюдения конфиденциальности согласно акту о мобильности и подотчетности медицинского страхования (HIPAA).
Набор скомпрометированной информации о том или ином клиенте Cerebral зависел от уровня взаимодействия с платформой телемедицины, от настроек пользовательских устройств и от того, каким образом третья сторона проводила сбор информации. Если у человека была учетная запись, то раскрытые данные могли включать имена, номера телефонов, адреса электронной почты, даты рождения, IP-адреса, клиентские ID в системе Cerebral, демографические сведения и другую информацию.
Если помимо создания учетной записи человек проходил онлайн-тестирование с целью оценки состояния психического здоровья, то скомпрометированные данные также могут включать название теста, ответы на вопросы и связанную с тестом информацию о здоровье. Кроме того, могла быть раскрыта информация о плане подписки, типе подписки, сумме страховых доплат, о бронировании, а также информация о лечении и сведения о медицинском страховании.
Согласно заявлению Cerebral, обнаружив утечку информации, компания немедленно перенастроила или удалила технологии отслеживания, а также отключила обмен данными со своими субподрядчиками, которые не могли выполнить требования HIPAA.
Напомним, что об утечках информации пациентов через технологии отслеживания сообщали другие крупные медицинские сети в США - Advocate Aurora Health, а также Novant Health.