Google знает, кто вы, чем болеете и сколько должны — и это даже не шутка, а фича
Следствие установило: утечка длилась почти три года, и никто ничего не заметил. Почти классика.
В калифорнийской системе здравоохранения произошёл крупный инцидент с утечкой данных: Blue Shield of California раскрыла, что персональная медицинская информация почти пяти миллионов человек оказалась доступна рекламным и аналитическим сервисам Google. Сбой в системе безопасности затронул период с апреля 2021 года по январь 2024 года.
На сайте организации опубликовано официальное уведомление о нарушении конфиденциальности. Согласно отчёту, причиной инцидента стала некорректная настройка Google Analytics на ряде сайтов Blue Shield. Эта ошибка привела к тому, что данные пользователей могли быть автоматически отправлены в рекламную систему Google Ads, где потенциально использовались для таргетированной рекламы.
Портал Министерства здравоохранения и социальных служб США обновил список инцидентов, подтвердив, что утечка затронула информацию о 4,7 миллиона членов страховой программы. В числе раскрытых данных — название страхового плана, номер группы, пол, почтовый индекс, данные поиска врачей на сайте, дата обращения за медицинской услугой, имя пациента и даже его финансовые обязательства.
Особую тревогу вызывает тот факт, что в некоторых случаях утекли идентификаторы, присвоенные онлайн-аккаунтам пользователей. Это может существенно упростить возможность связать отдельные действия человека на сайте с конкретными медицинскими услугами и диагнозами, особенно если эти данные использовались в рекламных алгоритмах Google.
Организация подчеркнула, что такие сведения, как номера социальных страховок, банковские реквизиты или данные водительских прав, не были затронуты. Однако даже при этом масштабе утечки специалисты рекомендуют следить за банковскими выписками и отчётами кредитных бюро, чтобы вовремя обнаружить признаки подозрительной активности.
Blue Shield не предложила пострадавшим никакой программы защиты от кражи личных данных, и пока неясно, будут ли разосланы персональные уведомления для каждого пострадавшего пользователя.
Это уже второй громкий случай, связанный с безопасностью данных в Blue Shield за последний год. В прошлом году около миллиона человек пострадали в результате атаки программой-вымогателем BlackSuit, которая проникла в системы стороннего подрядчика — компании Connexure (ранее Young Consulting).
Ситуация подчёркивает уязвимость цифровой инфраструктуры даже у таких крупных организаций и ставит под вопрос использование сторонних платформ для обработки чувствительных данных без дополнительных уровней защиты и контроля.