California Blue Shield, 4.7 milyon üyenin korunan sağlık bilgilerini Google’ın analitik ve reklam platformlarına maruz bıraktıktan sonra veri ihlali yaşadığını açıkladı.
Kaliforniya genelinde yaklaşık 6 milyon üyeye hizmet veren kâr amacı gütmeyen sağlık planı, web sitesinde üye verilerinin Nisan 2021 ile Ocak 2024 arasında ortaya çıktığını belirten bir veri ihlali bildirimi yayınladı.
Bugün, Birleşik Devletler Sağlık ve İnsan Hizmetleri Bakanlığı ihlali portalı, sızıntının 4.7 milyon üyenin korunan sağlık verilerini ortaya çıkardığını belirtmek için güncellendi.
Bildirime göre, maruziyet, bazı mavi kalkan sitelerinde Google Analytics’in yanlış yapılandırılmasından kaynaklandı. Bu, hassas verilerin potansiyel olarak Google reklam platformları ve reklamverenlerle paylaşılmasına neden oldu.
“11 Şubat 2025’te Blue Shield, Nisan 2021 ve Ocak 2024 arasında Google Analytics’in bazı üye verilerinin Google’ın reklam ürünleri ile paylaşılmasına izin verecek şekilde yapılandırıldığını keşfetti.
“Google, bu verileri odaklanmış reklam kampanyalarını bu bireysel üyelere geri vermek için kullanmış olabilir.”
Yanlış yapılandırma sonucunda ortaya çıkan veri türleri şunlardır:
- Sigorta Planı Adı
- Tür ve grup numarası
- Şehir ve Posta Kodu
- Cinsiyet
- Aile büyüklüğü
- Blue Shield, üyelerin çevrimiçi hesapları için tanımlayıcılar atadı
- Tıbbi Talep Hizmet Tarihi ve Servis Sağlayıcı, Hasta Adı ve Hasta Mali Sorumluluğu
- “Bir Doktor Bul” arama kriterleri ve sonuçları (konum, plan adı ve türü, sağlayıcı adı ve türü)
Blue Shield, sosyal güvenlik numaraları, ehliyet numaraları, bankacılık ve kredi kartı bilgileri gibi diğer kişisel bilgilerin bu olay sonucunda ortaya çıkmadığını belirtti.
Yine de, üyelerin uyanık kalmaları ve yetkisiz/şüpheli etkinlikleri belirlemek için hesap beyanlarını ve kredi raporlarını yakından izlemeleri önerilmektedir.
Organizasyon kimlik hırsızlığı koruma hizmetleri sunmamıştır ve gelecekte etkilenen üyelere bireysel bildirimlerin gönderilip gönderilmeyeceği belirsizdir.
Bu, Kaliforniya’dan Blue Shield tarafından bir yıldan kısa bir sürede açıklanan ikinci büyük ölçekli BT olayıdır.
Geçen yıl, yaklaşık bir milyon sağlık planı üyesi, kuruluşun yazılım çözümleri sağlayıcısı Connexure’u (eski adıyla genç danışmanlık) ihlal eden Blacksuit fidye yazılımı aktörleri tarafından çalındı.