image

Data 1,3 miljoen Amerikaanse patiënten gelekt via verkeerd ingestelde Meta-pixel

dinsdag 23 augustus 2022, 09:27 door Redactie, 12 reacties

Door een verkeerd geconfigureerde Meta-trackingpixel zijn de privégegevens van ruim 1,3 miljoen Amerikanen in handen van Meta gekomen, zo waarschuwt de Amerikaanse zorgverlener Novant Health die meerdere ziekenhuizen en medische centra beheert. De zorgverlener startte in mei 2020 een advertentiecampagne op Facebook en maakte daarbij ook gebruik van een trackingpixel op de eigen website om zo het succes van de campagne te meten.

De Meta-pixel was echter verkeerd ingesteld waardoor privégegevens van meer dan 1,36 miljoen patiënten afkomstig van de Novant Health-website en patiëntenportaal zo'n twee jaar lang naar Meta werden gestuurd. Via de portaal kunnen patiënten onder andere afspraken maken en herhaalrecepten aanvragen. De gelekte data bestaat uit demografische informatie zoals e-mailadres, telefoonnummer, ip-adresen ingevulde contactgegevens en informatie over afspraken, zoals datum, arts en door patiënten zelf ingevulde informatie. Dit kan letterlijk van alles zijn, zoals klachten of aandoeningen.

Novant Health zegt dat het Meta meerdere keren en op verschillende manieren heeft gevraagd om de gevoelige gegevens te verwijderen, maar nooit een reactie van het bedrijf heeft ontvangen. Naast het waarschuwen van patiënten heeft de zorgverlener ook besloten om de trackingpixel niet meer te gebruiken en zijn er nieuwe interne processen opgezet om dergelijke situaties in de toekomst te voorkomen.

Reacties (12)
23-08-2022, 09:48 door Anoniem
Lekker spul dat Facebook en dan vragen mensen zich nog af waarom je er weg moet blijven.
23-08-2022, 09:56 door Anoniem
<abba mode on>

Thank you for the data, the data I'm scraping
Thanks for all the money they're bringing
Who can live without it? I ask in all honesty
What would life be?
Without a leak or a portal, what are we?
So I say thank you for the data
For giving it to me

<abba mode off>
23-08-2022, 10:33 door Anoniem
Door Anoniem: <abba mode on>

Thank you for the data, the data I'm scraping
Thanks for all the money they're bringing
Who can live without it? I ask in all honesty
What would life be?
Without a leak or a portal, what are we?
So I say thank you for the data
For giving it to me

<abba mode off>

ROTFL
23-08-2022, 10:43 door Anoniem
Al is de pixel nog zo klein
Meta vindt die data maar al te fijn.
23-08-2022, 11:30 door Anoniem
Het zou fijn zijn dat zij hun patiënten te waarschuwen en de hun op het hart te drukken om met Facebook om te stoppen als zij dit gebruiken. Het is een onbetrouwbaar bedrijf, zij regearen niets een op terechte verzoeken van hun afnemers.
23-08-2022, 11:59 door Anoniem
Je hoeft niet zaken te doen met Meta ("bij Facebook te zitten", of WhatsApp, Instagram, …) om door Meta bespioneerd te worden.

Het wordt toch echt tijd om zo'n in de kern criminele organisatie toch echt als georganiseerde misdaad te bestrijden. Dat begint natuurlijk met niet willens en wetens meewerken met zo'n organisatie, maar het zou er niet mee moeten stoppen.
23-08-2022, 12:14 door Anoniem
De fout die ze hebben gemaakt is om die pixel op te nemen in een website die vol zat met gevoelige delen waar die pixel absoluut niets te zoeken had. Het idee was kennelijk om hem conditioneel te laten verschijnen: alleen op de pagina waar mensen landen die op een advertentie hebben geklikt. Alleen zit hij daarmee wel in de website/applicatie waar hij verder niets te zoeken heeft en zelfs zeer schadelijk is. Door hem op te nemen veranderde de situatie van een fout die domweg niet gemaakt kon worden naar een website waarin die blunder wel mogelijk was.

Beter was geweest om bijvoorbeeld een aparte website aan te maken, met een eigen subdomein, die in het geheel geen inhoud met de gevoelige doelwebsite deelt. Daar staat die pixel op een pagina die niets anders doet dan een redirect naar de doelwebsite. Daar komen mensen die de advertentie volgen dus nog steeds terecht. Op die manier zit die pixel niet in de gevoelige website, is er daar geen letter code of andere inhoud aan gewijzigd, en is het risico dat die pixel daar toch verschijnt nog net zo afwezig als voor die advertentiecampagne. En als die campagne achter de rug is hoeft de doelwebsite niet nog een keer te worden aangepast, dan verwijder je gewoon die extra website en het subdomein en alles is weer bij het oude.

Het is alleen wel omslachtig. Je hebt opeens niet alleen meer een ontwikkelaar nodig die wat in een website kan wijzigen, maar ook de mensen die (in productie) een nieuwe website kunnen aanmaken, die een subdomein kunnen definiëren, zorgen dat er een TLS-certificaat voor is; het verandert van een minimaal klusje voor een programmeur in een project dat meerdere disciplines en wellicht meerdere afdelingen raakt. Nog steeds geen groot project, maar het grijpt organisatorisch toch best om zich heen.

Verder vermoed ik dat mensen de meeste mensen hun vermogen (en dat van hun medewerkers) onderschatten om af en toe een ontzettend knullige blunder te maken. Een pixel alleen op een bepaalde pagina tonen is doodeenvoudig, je verwacht niet dat een ontwikkelaar die per ongeluk op de hele site zet, die ontwikkelaar verwacht dat zelf ook niet, en 99 van de 100 keer was het ook gewoon goed gegaan. Alleen maakt iedereen zo af en toe die heel knullige blunder opeens toch. Om daar rekening mee te houden moet je extra maatregelen die omslachtig zijn en overkill lijken soms toch nemen.
23-08-2022, 12:15 door buttonius - Bijgewerkt: 23-08-2022, 12:27
De fout was niet een verkeerd geconfigureerd Meta-trackingpixel, maar de keuze voor tracking via een externe partij zonder dat daar een zeer strikte verwerkingsovereenkomst aan ten grondslag lag.

Zou er in de USA wel eens iemand zijn ontslagen voor het gebruik van een Meta-trackingpixel?
23-08-2022, 13:24 door Anoniem
Zoals Zuckerberg al eens gezegt heeft toen hij begon: "Dumb fucks" https://www.esquire.com/uk/latest-news/a19490586/mark-zuckerberg-called-people-who-handed-over-their-data-dumb-f/

Dus tja, hij zal er niet wakker van liggen dat andere mensen zo 'dom' zijn om zijn producten te gebruiken. Want je kan dus wel dingen instellen over wat je doorgeeft aan data naar FB. Maar als niemand dat doet, en standaard is alles door sturen, tja, dan wint Zuckerberg weer.

Ik blijf erbij, alles blokkeren van FB en cosorten.

TheYOSH
23-08-2022, 14:48 door Anoniem
Blijft Amerika. De meeste slachtoffers zijn het zelfde kaliber en leeftijd dat zijn pensioen juist weer in aandelen Meta heeft belegd omdat die zo leuk maling aan privacy hebben dus dat is goud waard. Daar kun je dan de ziekenhuisrekeningen weer mooi van betalen.
24-08-2022, 16:04 door Anoniem
Dus mag dit bedrijf dat de fout maakte FB nuttig te vinden ook een tegemoetkoming aan de klanten doe. Bv. €100 voor het ongemak, €100 als schadeloosstelling en dan €200 als vergoeding voor het lastiggevallen worden met FB reclame op basis van deze info.
Per klant natuurlijk, dit ten laste van toekomstige winst etc, zonder prijsverhoging. Mogelijk wil FB nog iets terugstorten?
04-09-2022, 19:12 door Anoniem
Als Facebook niet reageert op dat verwijderverzoek - dan had die zorginstelling gerust al die servers van Meta in beslag kunnen laten nemen. En dan hou ik van ex-parte verzoeken, kwestie van het wat spannend te houden... Scramble Z - Scramble! Wat Facebook betreft voel ik me een beetje zoals commisaris Dreyfus...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.