Akıl sağlığı konusunda uzmanlaşmış bir tele sağlık girişimi olan Cerebral, 3,1 milyondan fazla hastanın hassas bilgilerini Google, Meta, TikTok ve diğer üçüncü taraf reklamcılarla yanlışlıkla paylaştığını söyledi. Şirketin web sitesinde yayımlanan bir duyuruda Cerebral, Ekim 2019’a kadar kullandığı izleme araçlarıyla hasta verilerinin bir listesini ifşa ettiğini itiraf etti.
Veriler; hasta adları, telefon numaraları, e-posta adresleri, doğum tarihleri, IP adresleri, sigorta bilgileri, randevu tarihleri, tedavi ve daha pek çok şeyi içeriyor. Hatta şirket, hastaların terapi randevularını planlamak ve reçeteli ilaç almak için kullanabilecekleri, şirketin web sitesinde ve uygulamasında ruh sağlığı öz değerlendirmesinin bir parçası olarak müşterilerin doldurduğu yanıtları bile açığa çıkarmış olabilir.
Cerebral’e göre bu bilgi; Meta, TikTok ve Google kod parçalarının kullanılması yoluyla elde edildi. Örneğin Meta Piksel, bir kullanıcının platformdaki bir reklama tıkladıktan sonra bir web sitesi veya uygulamadaki etkinliği hakkında veri toplayabilir hatta kullanıcının çevrim içi bir formda doldurduğu bilgileri takip edebilir. Bu, Cerebral gibi şirketlerin, kullanıcıların çeşitli platformlarda reklamlarıyla nasıl etkileşimde bulunduklarını ölçmelerine ve sonrasında attıkları adımları takip etmelerine imkân verirken Meta, TikTok ve Google’ın bu bilgilere erişmesine ve bu bilgileri daha sonra reklamları hakkında bilgi edinmek için kullanmalarına olanak tanır.
Şirket, etkilenen kullanıcıları bilgilendireceğini söylüyor ve platformun, kullanıcıların sosyal güvenlik numaralarını, kredi kartı numaralarını veya banka hesap bilgilerini ifşa etmediğini ekliyor.
Ocak ayında ilk olarak güvenlik açığını bulduktan sonra Cerebral, gelecekteki ifşaları önlemek için platformdaki izleme piksellerinden herhangi birini devre dışı bıraktığını, yeniden yapılandırdığını ve/veya kaldırdığını, ek olarak bilgi güvenliği uygulamalarını ve teknoloji inceleme süreçlerini geliştirdiğini ifade ediyor.
Cerebral, Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası olarak da bilinen HIPAA ihlallerini yasa bildirmekle yükümlü. Bu, sağlık hizmeti sağlayıcılarının hasta bilgilerini hasta dışında herhangi birine veya hastanın sağlığı hakkında bilgi almayı kabul ettiği herhangi bir kişiye ifşa etmesini engelliyor. İhlal şu anda ABD Sivil Haklar Ofisi tarafından soruşturuluyor.
Cerebral’in, HIPAA düzenlemelerini ihlal edip etmediğine ilişkin inceleme başlatıldı. Ek olarak Cerebral, Adderall ve Xanax gibi kontrollü maddelerin reçetelenmesi nedeniyle Adalet Bakanlığı ve Uyuşturucuyla Mücadele İdaresi tarafından bir soruşturma ile karşı karşıya kaldı ve o zamandan beri bu ilaçların reçetelenmesini de durdurdu.
Derleyen: Nazlıcan Vatansever
