A operadora de saúde americana Kaiser Permanente divulgou um incidente de segurança de dados que pode ter vazado informações de 13,4 milhões de associados e pacientes, atuais e antigos, para rastreadores de terceiros instalados em seus sites e aplicativos móveis.
“A Kaiser Permanente determinou que certas tecnologias online, previamente instaladas em seus sites e aplicativos móveis, podem ter transmitido informações pessoais a fornecedores terceirizados Google, Microsoft Bing e X (antigo Twitter) quando membros e pacientes acessaram seus sites ou aplicativos móveis”, disse a empresa em comunicado.
A Kaiser Permanente é um consórcio de gestão integrada de cuidados a saúde e uma das maiores operadoras de planos de saúde dos Estados Unidos. Opera 40 hospitais e 618 instalações médicas na Califórnia, Colorado, Distrito de Columbia, Geórgia, Havaí, Maryland, Oregon, Virgínia e Washington.
Segundo a empresa, os dados vazados podem incluir endereços IP, nomes, informações que possam indicar que um membro ou paciente estava conectado a uma conta ou serviço da Kaiser Permanente, detalhes mostrando como um membro ou paciente interagiu e navegou pelo site e aplicativos móveis, e termos de pesquisa utilizados na enciclopédia de saúde. Mas ela afirma que os dados expostos dessa forma não incluem nomes de usuário, senhas, números de previdência social, informações financeiras ou números de cartão de crédito.
Normalmente, as informações coletadas por rastreadores online são compartilhadas com uma extensa rede de profissionais de marketing, anunciantes e brokers (corretores) de dados.
A Kaiser Permanente afirma que os rastreadores foram descobertos e removidos após uma investigação interna voluntária, enquanto medidas adicionais para prevenir a recorrência de incidentes semelhantes foram implementadas agora. Embora não tenha conhecimento de casos de uso indevido das informações expostas, a operadora de saúde diz que notificará as pessoas que acessaram seus sites e usaram seus aplicativos móveis.
Veja isso
Saúde: 60% do setor põe cibersegurança em 2º plano
75% das instituições de saúde tiveram dados criptografados
O incidente é de longe a maior violação de dados de saúde publicada até agora neste ano no site do Departamento de Saúde e Serviços Humanos (HHS) dos EUA que fiscaliza o cumprimento da HIPAA (Health Insurance Portability and Accountability Act), conjunto de normas que organizações de saúde norte-americanas devem cumprir para proteger as informações.
Esta não é a primeira vez que a empresa enfrenta um incidente de segurança. Em junho de 2022, a Kaiser Permanente divulgou uma violação de dados que expôs as informações de saúde de 69 mil pessoas causada pelo acesso à conta de e-mail de um funcionário por um operador de ameaças. Os dados expostos na época incluíam nomes completos, prontuários médicos, datas de atendimento e informações sobre resultados de exames laboratoriais. Com agências de notícias internacionais.