ABD’li sağlık hizmeti sağlayıcısı Novant Health, hassas bilgileri Meta Pixel reklam izleme komut dosyası tarafından yanlışlıkla toplanmış olan 1.362.296 kişiyi etkileyen bir veri ihlali açıkladı.
Meta Pixel (eski adıyla Facebook Pixel), Facebook reklamverenlerinin reklam performansını izlemek için sitelerine ekleyebilecekleri bir JavaScript izleme komut dosyasıdır.
Yetkisiz hasta verilerine erişim ve ifşa, Mayıs 2020’de Novant’ın Facebook reklamlarını içeren COVID-19 aşısı için promosyon kampanyaları düzenlediğinde başladı.
Sağlık şirketi, bu reklamları izlemek için, reklamların ne kadar işe yaradığını ölçmek için Meta Pixel kodunu sitelerine ekledi.
Geçen hafta sonlarında yayınlanan bir bildiride açıklandığı gibi, Meta pikseli Novant Health’in sitesinde ve ‘MyChart’ portalında yanlış yapılandırılmış ve gizlilik bilgilerini Meta ve reklam ortaklarına iletmiştir.
Meta Pixel aracılığıyla açığa çıkmış olabilecek bilgiler şunları içerir:
- E-posta adresi
- Telefon numarası
- IP adresi
- Acil İletişim Bilgileri
- Randevu türü ve tarihi
- seçilen doktor
- Portal menü seçimleri
- “Serbest metin” kutularına yazılan herhangi bir içerik
MyChart portalı 64 sağlık hizmeti sağlayıcısı tarafından kullanılıyor ABD’de, hastalarının doktorlardan randevu almalarına, reçete yenileme talep etmelerine, sağlayıcılarıyla iletişim kurmalarına ve daha pek çok şeye izin veriyor.
Ne yazık ki bu, Novant’ın hizmetlerini doğrudan kullanmamış olanların bile izleyicinin yanlış yapılandırması nedeniyle ifşa olmuş olabileceği anlamına gelir.
Novant, BT ekiplerinin hatayı fark ettiği Mayıs 2022’de nihayet Meta pikselini sitelerinden ve portalından kaldırdı ve bu nedenle ifşa iki yıl sürdü.
“Pikselin istenmeyen bilgileri Meta’ya iletme kabiliyetine sahip olduğunun farkına varır varmaz, Novant Health önlem olarak pikseli devre dışı bıraktı ve kaldırdı ve bilginin aktarılıp aktarılmadığını ve ne ölçüde aktarıldığını öğrenmek için bir araştırma başlattı” diye açıklıyor. ifşa Novant Health web sitesinde.
Firma, 17 Haziran 2022’de sonuçlanan uzun bir soruşturmanın ardından etkilenen bireyleri belirlediğini, bu nedenle yalnızca bildirim alanların kendilerini ihlal edilmiş sayabileceğini söyledi.
Novant, sağlık verilerini silmek için Meta’ya birkaç kez ulaştığını ancak yanıt alamadığını söyledi.
Novan Health, tavsiyelerinde “Meta Facebook’a birkaç kez ve farklı kanallar aracılığıyla ulaştık, ancak hiçbir zaman yanıt alamadık” diyor.
Bleeping Computer, yukarıdakilerle ilgili bir yorum için Facebook ile iletişime geçti ve bu parçayı duyar duymaz güncelleyeceğiz.
İlgili dava
Son zamanlarda, ABD’deki Meta ve iki tıp merkezine karşı teknoloji devi ve ortaklarının suçsuz olduğunu iddia eden bir toplu dava açıldı. bilerek özel bilgi toplamak Meta Piksel aracılığıyla kullanıcının rızasını talep etmeden.
Dava, sanıklar bölümünde iki sağlık hizmeti sağlayıcısını listelerken, taslak, benzer yasa dışı izleme uygulamalarını takip eden ülkedeki birçok hastaneyi içeriyordu.
Yanlış yapılandırmanın fark edilmesindeki gecikme göz önüne alındığında, soruşturmanın yasal işlem haberine yanıt olarak başlatılmış olması muhtemeldir.
İhlal bildirimlerini dağıtmak, olayın sonuçlarını hafifletmez. Bununla birlikte, UCSF Tıp Merkezi ve Dignity Sağlık Tıp Vakfı’na karşı olanlarla benzer gerekçelerle yasal işlemle karşı karşıya kalma şansını azaltmaya yardımcı olabilir.