Οι νεοφυείς επιχειρήσεις υγειονομικής περίθαλψης προσπαθούν να αξιολογήσουν τις επιπτώσεις μετά την παραβίαση δεδομένων της Postmeds που έπληξε εκατομμύρια ασθενείς

Περισσότερα από δύο

εκατομμύρια άνθρωποι σε όλες τις Ηνωμένες Πολιτείες θα λάβουν ειδοποίηση ότι οι προσωπικές και ευαίσθητες πληροφορίες υγείας τους κλάπηκαν νωρίτερα αυτό το έτος κατά τη διάρκεια μιας κυβερνοεπίθεσης στην Postmeds, τη μητρική εταιρεία της startup διαδικτυακών φαρμακείων Truepill.

Για ορισμένους από αυτούς που επηρεάζονται, είναι η πρώτη που ακούν για την Postmeds, πόσο μάλλον ότι η εταιρεία έχασε τις ευαίσθητες προσωπικές και υγειονομικές πληροφορίες τους κατά την παραβίαση δεδομένων.

Η είδηση ​​για την παραβίαση δεδομένων φάνηκε επίσης να εντοπίζει άγνωστες νεοφυείς επιχειρήσεις υγειονομικής περίθαλψης που στο παρελθόν βασίζονταν στην Postmeds για να εκπληρώσουν τις συνταγές των πελατών τους.

Η Postmeds, ή Truepill, είναι μια διαδικτυακή startup εκπλήρωσης φαρμακείων που συμπληρώνει συνταγές για επώνυμες υπηρεσίες τηλευγείας και άλλα φαρμακεία και ταχυδρομεί φάρμακα στους πελάτες τους. Η Postmeds, μέσω της Truepill, έχει εκπληρώσει τις συνταγές για τους πελάτες των Folx, Hims και GoodRx, και άλλων δημοφιλών διαδικτυακών startups τηλευγείας που έχουν εμφανιστεί τα τελευταία χρόνια.

Ακόμα κι αν δεν έχετε ακούσει ποτέ για την Postmeds, η εταιρεία μπορεί να έχει συμπληρώσει μία από τις συνταγές σας και να έχει χειριστεί τα στοιχεία σας. Ο ιστότοπος της Truepill αναφέρει ότι έχει παραδώσει 20 εκατομμύρια συνταγές σε τρία εκατομμύρια ανθρώπους από την ίδρυσή της το 2016.

Η Postmeds είπε πρόσφατα στις ομοσπονδιακές ρυθμιστικές αρχές σε μια νομικά απαιτούμενη ειδοποίηση ότι 2,3 εκατομμύρια άτομα είχαν κλαπεί τα προσωπικά τους στοιχεία λόγω της παραβίασης. Η εταιρεία άρχισε να στέλνει γραπτές ειδοποιήσεις σε επηρεαζόμενα άτομα στις αρχές Νοεμβρίου.

Η παραβίαση δεδομένων «παρουσιάζει τεράστιο κίνδυνο»

Μέσα στο

ειδοποίηση παραβίασης δεδομένων

Η Postmeds είπε ότι οι χάκερ έκλεψαν ένα θησαυροφυλάκιο ευαίσθητων δεδομένων, συμπεριλαμβανομένων ονομάτων ασθενών και δημογραφικών πληροφοριών – όπως ημερομηνίες γέννησης – τον τύπο των συνταγογραφούμενων φαρμάκων και το όνομα του συνταγογράφου. Σε ορισμένες περιπτώσεις, αυτές οι πληροφορίες μπορούν να συναγάγουν τον λόγο λήψης του φαρμάκου, ο οποίος μπορεί να περιλαμβάνει ιδιαίτερα ευαίσθητες ιατρικές πληροφορίες ενός ατόμου, όπως λεπτομέρειες σχετικά με την ψυχική, σεξουαλική και αναπαραγωγική του υγεία.

Μερικοί από αυτούς που έλαβαν επιστολές ειδοποίησης παραβίασης δεδομένων είπαν στο TechCrunch ότι δεν ήταν εξοικειωμένοι με το Postmeds και γιατί η εταιρεία είχε τις πληροφορίες τους.

«Εγώ και ο σύντροφός μου είχαμε επίσης αλληλεπικαλυπτόμενες περιόδους κατά τις οποίες ήμασταν και οι δύο ασθενείς με Folx, αλλά δεν έλαβα ποτέ γράμμα», είπε στο TechCrunch ένας πρώην πελάτης του Folx, του οποίου ο συνεργάτης έλαβε ειδοποίηση παραβίασης δεδομένων.

Η Folx

Health

είναι μια εταιρεία τηλευγείας που εξυπηρετεί την κοινότητα LGBTQIA+, με κλινικούς γιατρούς που μπορούν να συνταγογραφήσουν φάρμακα που υποστηρίζουν τη φροντίδα που επιβεβαιώνει το φύλο. Η Folx είπε ότι προηγουμένως χρησιμοποιούσε το Truepill για να εκπληρώσει τις συνταγές των πελατών.

Όταν ζήτησε σχόλιο από το TechCrunch, ο επικεφαλής επιχειρησιακός διευθυντής του Folx, Dana Clayton, είπε στο TechCrunch: «Η Folx διέκοψε τη σχέση της με την Truepill τον Νοέμβριο του 2022. Είμαστε σε επαφή με την Truepill σχετικά με το περιστατικό και εργαζόμαστε για να αξιολογήσουμε γρήγορα τυχόν πιθανές επιπτώσεις στα μέλη μας. ”

«Όπως και άλλες εταιρείες υγειονομικής περίθαλψης, στέλνουμε συνταγές σε ένα ευρύ φάσμα φαρμακείων με βάση την επιλογή των μελών, τη διαθεσιμότητα φαρμάκων, το κόστος και άλλους παράγοντες. Η Folx λαμβάνει σοβαρά υπόψη το απόρρητο των μελών της και κρατά τους συνεργάτες της με τα αυστηρότερα πρότυπα ασφαλείας», δήλωσε ο Clayton. “Η παραβίαση δεδομένων από την Truepill μας προκάλεσε μεγάλη απογοήτευση και ανησυχία και η Folx έχει δεσμευτεί να ενημερώνει τα μέλη μας καθώς μαθαίνουμε περισσότερα.”

Ο πρώην πελάτης του Folx, ο οποίος εργάζεται στον τομέα της κυβερνοασφάλειας, είπε στο TechCrunch ότι η παραβίαση δεδομένων «παρουσιάζει τεράστιο κίνδυνο, ειδικά για μια κοινότητα που πρόκειται να χάσει πολλά περισσότερα με την παραβίαση αυτών των δεδομένων».

Η Postmeds δεν έχει σχολιάσει δημόσια πέρα ​​από την ειδοποίησή της για παραβίαση δεδομένων. Η TechCrunch ζήτησε από τον διευθύνοντα σύμβουλο της Postmeds, Paul Greenall, σε ένα email να παράσχει μια λίστα με τις εταιρείες που συνεργάστηκε η Postmeds με τους πελάτες των οποίων επηρεάζονται. Ο Γκρίναλ δεν απάντησε.

Ένα άλλο άτομο που έλαβε μια επιστολή ειδοποίησης παραβίασης δεδομένων είπε ότι του συνταγογραφήθηκε μια συνεχής συσκευή παρακολούθησης γλυκόζης πριν από ένα χρόνο από την startup Levels Health, η οποία βασίζεται στην Truepill για την εκπλήρωση των συνταγών των πελατών της για συσκευές παρακολούθησης γλυκόζης αίματος.

Όταν έρχεται σε επαφή με το TechCrunch, η Levels δεν θα πει εάν οι πελάτες της στις Ηνωμένες Πολιτείες επηρεάζονται από την παραβίαση της Postmeds.

Η Kate Burton-Barlow, που εκπροσωπεί τα Levels μέσω τρίτου οργανισμού, είπε σε ένα email ότι η Levels «πρώην είχε δημιουργήσει μια σχέση με την Truepill στο Ηνωμένο Βασίλειο εν αναμονή μιας μελλοντικής κυκλοφορίας στο Ηνωμένο Βασίλειο, αλλά αυτή η κυκλοφορία δεν έχει πραγματοποιηθεί, επομένως η Levels δεν το κάνει υπάρχουν πελάτες στο Ηνωμένο Βασίλειο που αυτό θα μπορούσε να επηρεάσει».

Η TechCrunch επικοινώνησε με πολλές εταιρείες υγειονομικής περίθαλψης που βασίζονταν στην Truepill για τη διανομή και την αποστολή φαρμάκων.

Όταν ζήτησε σχόλιο από το TechCrunch, ο εκπρόσωπος της Hims Khobi Brooklyn δεν αμφισβήτησε ότι τα δεδομένα πελατών επηρεάστηκαν από την παραβίαση που αφορούσε την Truepill. Ο εκπρόσωπος δεν είπε πόσοι πελάτες του Hims επηρεάστηκαν, αλλά σημείωσε ότι δεν πληρώθηκαν όλοι οι πελάτες του Hims από τις συνταγές τους από την Truepill.

Η startup Telehealth Cerebral, η οποία παρέχει υπηρεσίες τηλευγείας και συνταγογραφούμενα φάρμακα για παθήσεις ψυχικής υγείας, είπε στο TechCrunch ότι δεν είχε επιχειρηματική σχέση ή δεν μοιράστηκε πληροφορίες ασθενών με την Truepill από το 2022. «Μέχρι σήμερα, δεν έχουμε δει καμία ειδοποίηση για παραβίαση και δεν έχουν κανένα λόγο να πιστεύουν ότι οποιουδήποτε εγκεφαλικού ασθενούς [protected health information] έχει ανεπίτρεπτα αποκαλυφθεί ή πρόσβαση», δήλωσε η εκπρόσωπος της Cerebral, Brittney Henderson σε ένα email. (Η Cerebral αποκάλυψε ξεχωριστά νωρίτερα αυτό το έτος ότι είχε μοιραστεί εκατομμύρια δεδομένα ασθενών με

διαφημιστές

για αρκετά χρόνια.)

Αρκετά άλλα φαρμακεία που συνεργάστηκαν με την Truepill δεν σχολίασαν όταν επικοινώνησε το TechCrunch πριν από τη δημοσίευση.

Το CostPlus, το διαδικτυακό φαρμακείο χαμηλότερου κόστους που ιδρύθηκε από τον Mark Cuban, το οποίο βασίζεται στην Truepill για την αποστολή φαρμάκων στους πελάτες, δεν απάντησε σε αιτήματα για σχόλια. Κουβανέζικο

επένδυσε ένα άγνωστο ποσό στην Truepill

νωρίτερα το 2023.

Ο γίγαντας κουπονιών υγείας και συνταγών GoodRx

βασίζεται στην Truepill ως συνεργάτη παράδοσης αλληλογραφίας

. Η εκπρόσωπος του GoodRx Lauren Casparis δεν απάντησε στα αιτήματα για σχολιασμό.

Η TechCrunch έμαθε ότι η Nutrisense, μια τεχνολογική εκκίνηση που παρέχει συνεχείς οθόνες γλυκόζης με ιατρική συνταγή, χρησιμοποιεί το Truepill για να εκπληρώσει ορισμένες παραγγελίες. Ο διευθύνων σύμβουλος της Nutrisense, Alex Skryl, δεν απάντησε σε email που ζητούσε σχόλιο.

Η σύνδεση HIPAA

Δεν είναι ασυνήθιστο για εταιρείες τεχνολογίας ή υγειονομικής περίθαλψης να μοιράζονται δεδομένα ασθενών με άλλες εταιρείες, όπως τρίτα ή εξειδικευμένα φαρμακεία, για να εκπληρώσουν τις υπηρεσίες τους.

Οι πάροχοι υγειονομικής περίθαλψης των

ΗΠΑ

, όπως τα ιατρεία και τα φαρμακεία, και οι ασφαλιστικές εταιρείες υπόκεινται στους κανόνες απορρήτου και ασφάλειας υγείας που ορίζονται στον νόμο περί φορητότητας και λογοδοσίας ασφάλισης υγείας ή HIPAA, ο οποίος εν μέρει διέπει τον τρόπο με τον οποίο οι πάροχοι υγειονομικής περίθαλψης πρέπει να διαχειρίζονται σωστά την ασφάλεια των δεδομένων των ασθενών και μυστικότητα. Η πτώση του σφάλματος του HIPAA μπορεί να οδηγήσει σε βαριά πρόστιμα.

Ωστόσο, πολλές νεοφυείς επιχειρήσεις τηλευγείας δεν θεωρούνται «καλυπτόμενες οντότητες» στο πλαίσιο της HIPAA και η HIPAA συχνά δεν ισχύει, επειδή οι ίδιες οι νεοφυείς επιχειρήσεις δεν παρέχουν περίθαλψη, αλλά συνδέουν ασθενείς με παρόχους υγειονομικής περίθαλψης.

Όπως σημειώνει η Consumer Reports

Η HIPAA «καθορίζει κανόνες απορρήτου που πρέπει να ακολουθούν οι πάροχοι υγειονομικής περίθαλψης και οι ασφαλιστικές εταιρείες όταν χειρίζονται προσωπικά αναγνωρίσιμα ιατρικά δεδομένα», αλλά η ίδια πληροφορία που προστατεύεται στο ιατρείο «μπορεί να είναι εντελώς ανεξέλεγκτη σε άλλες ρυθμίσεις».

Τόσο η Hims όσο και η Cerebral σημειώνουν στις πολιτικές απορρήτου τους ότι, ενώ μπορεί να ισχύουν οι κρατικοί νόμοι περί απορρήτου, η HIPAA “δεν ισχύει απαραίτητα για μια οντότητα ή πρόσωπο απλώς και μόνο επειδή εμπλέκονται πληροφορίες υγείας”. Οι εταιρείες που λένε ότι είναι «συμβατές με το HIPAA» μπορεί να σημαίνουν ότι το HIPAA δεν ισχύει για αυτές.

Οι ΗΠΑ δεν διαθέτουν εθνική νομοθεσία περί ασφάλειας δεδομένων ή απορρήτου και, αντίθετα, στηρίζονται σε ένα συνονθύλευμα πολιτειακών νόμων που διαφέρουν από κάθε πολιτεία. Οι περισσότεροι Αμερικανοί ζουν σε πολιτείες που έχουν ελάχιστη έως καθόλου προστασία έναντι της ανταλλαγής πληροφοριών ενός ατόμου.

Αντίθετα, οι εταιρείες συνήθως διευκρινίζουν πώς χειρίζονται τα δεδομένα πελατών ή ασθενών στην πολιτική απορρήτου τους, αλλά

δεν είναι

υποχρεωμένες να αποκαλύπτουν με ποιες συγκεκριμένες εταιρείες συνεργάζονται.

Τα δύο άτομα, που έλαβαν επιστολές ειδοποίησης παραβίασης δεδομένων από την Postmeds και μίλησαν μαζί μας για αυτήν την ιστορία, επέκριναν τις εταιρείες που εξέδωσαν τις συνταγές τους για έλλειψη διαφάνειας σχετικά με το ποιοι είναι οι επιχειρηματικοί τους συνεργάτες και ποιοι από αυτούς τους συνεργάτες θα λάμβαναν τα ευαίσθητα προσωπικά τους στοιχεία.

«Μόλις έλαβα το πρώτο μου πακέτο και είδα το «Truepill» στο κουτί από τη Folx, συνειδητοποίησα, ομολογουμένως αργά από την πλευρά μου, ότι τα δεδομένα μου είχαν σταλεί σε έναν οργανισμό με τον οποίο προσωπικά δεν είχα συνάψει σχέση εμπιστοσύνης». είπε στο TechCrunch ο πρώην χρήστης του Folx.

Αρκετά νήματα στο

Reddit

έχουν σχόλια από άτομα που έλαβαν ειδοποιήσεις παραβίασης δεδομένων από την Postmeds, αλλά δεν είναι σίγουροι ποια εταιρεία παρείχε στην Postmeds τις πληροφορίες τους.

«Μόλις έλαβα αυτό το γράμμα και δεν έχω ιδέα από ποιον γιατρό θα περάσει», είπε ένα άτομο. «Έλαβε επίσης αυτή την επιστολή. Καμία γνώση της εταιρείας», είπε ένας άλλος.

Η παραβίαση είναι το πιο πρόσφατο περιστατικό που πλήττει το μαχόμενο Truepill.

Η Truepill υποβλήθηκε σε αρκετούς γύρους απολύσεων το 2022, συμπεριλαμβανομένων μεγάλων τμημάτων της ομάδας προϊόντων της και όλων των υπαλλήλων της στο Ηνωμένο Βασίλειο. Τον Σεπτέμβριο, ήταν ο συνιδρυτής της Truepill, Sid Viswanathan

απωθήθηκε από την εταιρεία

.

Νωρίτερα αυτό το μήνα, η Truepill συμβιβάστηκε με την αμερικανική Υπηρεσία Δίωξης Ναρκωτικών ισχυρίζεται ότι

διένειμε παράνομα χιλιάδες συνταγές για ελεγχόμενες ουσίες

στο οποίο η Truepill «αποδέχθηκε την ευθύνη για τη λειτουργία ενός μη εγγεγραμμένου διαδικτυακού φαρμακείου».