Amerikaanse ggz-aanbieder deelde data 3,1 miljoen patiënten met adverteerders
De Amerikaanse ggz-aanbieder Cerebral heeft de persoonlijke informatie van ruim 3,1 miljoen patiënten met adverteerders gedeeld, zo heeft het bedrijf zelf bekendgemaakt (pdf). Dit gebeurde via een trackingpixel waardoor data naar Google, Meta, TikTok en andere derde partijen ging. Cerebral biedt online therapie voor allerlei psychische klachten, waaronder depressie.
Sinds het bedrijf eind 2019 startte gebruikte het op de eigen platforms trackingpixels en andere trackingtechnologieën waardoor gebruikersdata naar de eerder genoemde techbedrijven en andere derde partijen werd gestuurd. Het gaat om naam, telefoonnummer, e-mailadres, geboortedatum, ip-adres, klantnummer en andere demografische informatie. Wanneer gebruikers ook een self-assessment deden gaat het ook om de betreffende gekozen dienst en bepaalde gezondheidsinformatie. Voor cliënten die een abonnement afnamen zijn type abonnement, afspraakdatums, behandeling en andere klinische informatie gelekt.
Begin dit jaar ontdekte Cerebral naar eigen zeggen dat de data van gebruikers naar derde partijen werd gestuurd. Inmiddels zijn alle trackers verwijderd en heeft het bedrijf vastgesteld dat er sprake is van een datalek. Omdat het bedrijf vertrouwelijke gezondheidsgegevens verwerkt valt het onder de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA). Het moet dergelijke datalekken dan ook bij de overheid meldden. Uit de melding blijkt dat het om de gegevens van ruim 3,1 miljoen mensen gaat.
Eind vorig jaar waarschuwde een Amerikaanse zorgverlener met 27 ziekenhuizen en honderden zorglocaties drie miljoen patiënten voor een soortgelijk datalek veroorzaakt door trackingpixels en meldde een Amerikaanse zorgverlener, die meerdere ziekenhuizen en medische centra beheert, een datalek met de gegevens van 1,3 miljoen patiënten door een verkeerd ingestelde Meta-pixel.
IP-adres kan ik nog snappen, als de tracking pixel op een willekeurige pagina staat gebeurd dat immers altijd.
Klantnummer, die zal vast nog in een de (GET) URL staan van een pagina en snap ik ook.
Maar hoe lek je telefoonnummers via een pixel? Of waren er formulieren die alles via een GET request verstuurden (op zich een op zich zelf staande kwetsbaarheid van je website) dat de pixel die data zag? En lekten ze die foto's dan niet ook naar anderen toe (b.v. CDN servers die ze gebruikten om andere plaatjes/JavaScripts op te halen, waarbij deze data in de referer wordt gedeeld door de browser)?
Het is een pixel, geen script, dus je moet het toch best wel specifiek als programmeur meegeven of andere zaken niet op orde hebben, of zie ik dat verkeerd?
persoonlijke gegevens delen van patiënten met Meta, Google en andere walgelijke clubs, doe je niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
