Chybně nakonfigurovaný Meta Pixel způsobil kompromitaci zdravotních údajů 1,3 milionu pacientů

Zpět na blog

Americký poskytovatel zdravotní péče Novant Health přiznal únik dat, který se dotkl 1 362 296 osob, jejichž citlivé údaje byly omylem shromážděny skriptem Meta Pixel pro sledování reklamy.

Meta Pixel (dříve Facebook Pixel) je sledovací skript v jazyce JavaScript, který mohou inzerenti na Facebooku přidat na své stránky a sledovat tak výkonnost reklamy.

Neoprávněný přístup k údajům pacientů a jejich potenciální kompromitace začaly v květnu 2020, kdy společnost Novant rozjela propagační kampaně na očkování proti nemoci covid-19, jejichž součástí byly reklamy na Facebooku. Za účelem sledování těchto reklam přidala zdravotnická společnost na své stránky kód Meta Pixel, aby mohla měřit, jak dobře reklamy fungují.

Jak bylo vysvětleno v prohlášení zveřejněném koncem minulého týdne, Meta pixel byl na stránkách společnosti Novant Health a na portálu MyChart chybně nakonfigurován a předával společnosti Meta a jejím reklamním partnerům informace, které se k ním neměly dostat.

Mezi informace, které mohly být prostřednictvím Meta Pixel odhaleny, patří e-mailová adresa, telefonní číslo, IP adresa, informace o pohotovostních kontaktech, typ a datum schůzky, vybraný lékař, výběr z nabídky portálu, jakýkoli obsah zadaný do políček „volný text“.

Portál MyChart využívá 64 poskytovatelů zdravotních služeb v USA, kteří umožňují svým pacientům rezervovat si schůzky s lékaři, žádat o doplnění léků na předpis, kontaktovat své poskytovatele a další.

To bohužel znamená, že i ti, kteří přímo nevyužívali služeb společnosti Novant, mohli být kvůli chybné konfiguraci trackovacího řešení vystaveni riziku. Společnost Novant nakonec Meta pixel ze svých stránek a portálu odstranila v květnu 2022, když si její týmy IT chybu uvědomily. Odhalení problému tedy trvalo dva roky.

„Okamžitě poté, co jsme se dozvěděli, že pixel má schopnost přenášet nechtěné informace do služby Meta, společnost Novant Health pixel preventivně zakázala a odstranila a zahájila vyšetřování, abychom zjistili, zda a v jakém rozsahu byly informace přenášeny,“ vysvětluje zveřejnění na webových stránkách společnosti Novant Health.

Firma uvádí, že po dlouhém vyšetřování, které bylo ukončeno 17. června 2022, určila zasažené osoby, takže pouze ti, kteří obdrželi oznámení, byli riziku vystaveni.

Společnost Novant uvádí, že několikrát oslovila společnost Meta s žádostí o odstranění zdravotnických údajů, ale nedostala odpověď. „Několikrát a různými kanály jsme společnost Meta Facebook oslovili, ale nikdy jsme nedostali odpověď,“ uzavírá společnost Novan Health ve svém prohlášení.

Související soudní spory

Nedávno byla podána hromadná žaloba proti společnosti Meta a dvěma zdravotnickým střediskům ve Spojených státech, která tvrdí, že technologický gigant a jeho partneři vědomě shromažďovali soukromé informace, aniž by si vyžádali souhlas uživatele prostřednictvím Meta Pixel.

Ačkoli žaloba uváděla v části žalovaných dva poskytovatele zdravotnických služeb, týkala se podle všeho mnoha nemocnic v zemi, které se řídily podobnými nezákonnými praktikami sledování.

Vzhledem k prodlevě při odhalení chybné konfigurace je možné, že vyšetřování bylo zahájeno v reakci na zprávu o soudním řízení.

Rozesílání oznámení o narušení bezpečnosti nezmírňuje následky incidentu. Může však pomoci snížit pravděpodobnost, že bude čelit soudnímu řízení z podobných důvodů, jaké byly vedeny proti zdravotnickému středisku UCSF a zdravotnické nadaci Dignity Health.

Zdroj: Bleepingcomputer.com

24. 8. 2022