Kaliforniya Blue Shield, Google Analytics yanlış yapılandırılmış kurulum nedeniyle 4,7 milyon üyenin sağlık verilerini yıllarca Google’a maruz bıraktı. Hiçbir SSN sızdırılmadı.
Büyük bir sağlık sigortası sağlayıcısı olan California Blue Shield, üyelerinin yaklaşık 4,7 milyonu özel bilgisinin Google’ın reklam ve analiz hizmetlerine maruz kaldığını duyurdu. Bu, Nisan 2021’den Ocak 2024’e kadar yaklaşık üç yıl boyunca gerçekleşti.
Sigortacı, müşterilerin web sitelerini nasıl kullandıklarını izlemek için Google Analytics’i kullandıklarını belirtiyor. Bu kurulumda yanlış yapılandırma, hastaların doktorları ve diğer sağlık hizmetlerini bulmak için web sitesine yazdığı belirli kelimeler ve cümleler de dahil olmak üzere korumalı sağlık bilgilerinin toplanmasına izin verdi.
11 Şubat 2025’te Google Analytics’in bazı üye verilerin Google’ın reklam platformu olan Google reklamları ile paylaşılmasına izin verecek şekilde kurulduğunu keşfettiler ve bunu, bireysel üyelere hedeflenen reklamları göstermek için kullanmış olabilir.
Paylaşılan bilgiler, sigorta planı adı, grup numarası, şehir ve posta kodu, cinsiyet, aile büyüklüğü, çevrimiçi hesaplar için kimlik numaraları, tıbbi hizmet tarihi, doktor veya hastanenin adı, hasta borçlu tutar ve “doktor bulun” aracında bir doktor ararken kullanılan terimleri içerebilir. Ancak şirket, sosyal güvenlik numaraları, ehliyet numaraları veya banka ve kredi kartı detayları gibi kişisel bilgilerin bu olayda maruz kalmadığını doğruladı.
Blue Shield, Ocak 2024’te Google Analytics ve Google reklamları arasındaki bağlantıyı durdurdu. Şirket, diğer izleme yazılımlarının üyelerin özel sağlık bilgilerini paylaşmasını önlemek için web sitelerini ve güvenlik prosedürlerini inceliyor.
Breace bildiriminde, Blue Shield, Google’ın belirli bir üyenin bilgilerini görüp görmediğini doğrulayamayacağını, ancak bu zaman diliminde çevrimiçi hesaplarını Blue Shield’ın web sitelerinde kullanmış olabilecek tüm üyeleri dikkate almadığını belirtti.
Şirket üyelere, Google’ın yalnızca reklamlar için bilgileri kullandığı ve özel sağlık ayrıntılarını başkalarıyla paylaşmadığı ve üyelerinin gizliliğini koruma taahhüdünü dile getirdiği olaya hiçbir kötü niyetli bilgisayar korsanının dahil olmadığına güveniyor.
Şirket, “Blue Shield bu konuyu çok ciddiye alıyor ve gelecekteki benzer açıklamalara karşı korumak için önlemler başlattı” dedi.
Şirketin 2022’de yaklaşık 4,5 milyon üyeye sahip olduğu göz önüne alındığında, bu ihlal muhtemelen Blue Shield müşterilerinin çoğunluğunu etkiler. ABD Sağlık Bakanlığı Sivil Haklar Ofisi’ne göre, Kaliforniya Veri Mavi Kalkanı, 2025’te ABD’de sağlıkla ilgili en büyük ihlaldir.
Blue Shield, üyeleri şüpheli faaliyetler için hesap beyanlarını ve kredi raporlarını izlemeye çağırıyor ve hileli faaliyetlerden şüpheleniyorlarsa veya kimliklerinin çalındığına inanıyorlarsa, bunu kolluk kuvvetlerine bildirmeleri gerekiyor. Üyeler ayrıca üç ana kredi raporlama kuruluşundan 12 ayda bir ücretsiz kredi raporuna erişebilir veya doğrudan satın alabilir.
Saviynt baş güven memuru Jim Routh, hackread.com’a böyle ihlallerin devam edeceğini söyledi. Google Analytics gibi platformların reklam hedefleme için davranışsal ve kişisel veriler topladığını ve bu araçları düzgün bir şekilde yapılandırmak için California Blue Shield gibi şirketlere bağlı olduğunu belirtti.
“SSN’ler maruz kalmasa da, sızdırılmış sağlığa özgü veriler asla paylaşılmamalıydı. Ve bu ihlalin keşfedilmesinden aylar sonra açıklanması da ilgilidir” dedi.
Google, yaklaşık üç yıl boyunca bu hassas sağlıkla ilgili bilgilere erişebildiğinden, şirketin onu işaretlediğine veya bildirdiğine dair bir gösterge yoktur. Bazı ciddi soruları gündeme getiriyor:
- Eğer yaparlarsa, sessizce reklam hedefleme için kullandılar mı?
- Neden herhangi bir dahili önlemi sağlık verilerinin geldiğini yakaladı?