Kaliforniya’dan Blue Shield, yaklaşık 6 milyon müşterisinin çoğunluğunu temsil eden 4.7 milyon üyesi etkileyen önemli bir veri ihlali açıkladı.
Sağlık sigortası sağlayıcısı, korumalı sağlık bilgilerinin (PHI), Google analitiklerinin şirketin web sitelerindeki yanlış yapılandırılması nedeniyle Google’ın reklam platformlarıyla yaklaşık üç yıllık bir süre boyunca yanlışlıkla paylaşıldığını açıkladı.
Nisan 2021’den Ocak 2024’e kadar uzanan bu ihlal, 2025’teki en büyük sağlık veri olayları arasında yer almaktadır.
.png
)
Şirket, bir dahili incelemenin Google Analytics’in hassas üye verilerini Google reklamlarıyla paylaşacak şekilde yanlış yapılandırıldığını belirlediği ve etkilenen kişilere yönelik hedefli reklam kampanyalarını mümkün kıldığını tespit ettiği 11 Şubat 2025’te gizlilik ihlalini keşfetti.
“11 Şubat 2025’te Blue Shield, Nisan 2021 ve Ocak 2024 arasında Google Analytics’in, bazı üye verilerin Google’ın reklam ürünleri, Google Reklamları ile paylaşılmasına izin verecek şekilde yapılandırıldığını keşfetti.
Mavi Kalkan Veri Maruziyeti
Potansiyel olarak maruz kalan veriler şunları içerir:
- Sigorta Planı Adı, Türü ve Grup Numarası
- Şehir, posta kodu, cinsiyet ve aile büyüklüğü
- Çevrimiçi hesaplar için mavi kalkan atanmış tanımlayıcılar
- Tıbbi Talep Hizmeti Tarihleri ve Sağlayıcılar
- Hasta İsimleri ve Finansal Sorumluluk
- “Doktor Bul” arama kriterleri ve sonuçları (konum, plan, sağlayıcı)
Blue Shield, ihlalde hiçbir sosyal güvenlik numarasının, ehliyet numarasının veya bankacılık ve kredi kartı bilgilerinin tehlikeye atılmadığını vurguladı.
Şirket ayrıca “kötü aktör dahil olmadığını” ve Google’ın korunan bilgileri diğer taraflarla paylaşmadığını belirtti.
Bu olay, çevrimiçi izleme teknolojileri ile ilgili olarak HIPAA uyumluluğu konusunda ciddi endişeler doğurur.
HIPAA düzenlemeleri uyarınca, sağlık kuruluşları PHI ve Güvenli İş Ortak Sözleşmeleri (BAAS) için sağlam önlemler bu tür verileri ele alan satıcılarla uygulamalıdır.
Google, Google Analytics’in HIPAA uyumlu olmadığını ve BAA sunmadığını ve PHI’yi doğal olarak riskli olarak kullanan sayfalarda kullanmasını açıkça belirtiyor.
Güvenlik uzmanları bu tür ihlalleri teknik yanlış yapılandırmalara ve veri toplama uygulamalarına yetersiz görünürlüklere bağlar.
Lokker CEO’su Ian Cohen, “Birçok sağlık şirketi potansiyel veri gizliliği sorunlarından habersiz yakalanıyor çünkü analitik araçlarının ne topladığını tam olarak bilmiyorlar ya da Google Analytics’i nasıl doğru bir şekilde kuracaklarını bilmiyorlar” dedi.
Blue Shield, Ocak 2024’te Google Analytics ve Google Reklamları arasındaki bağlantıyı kopardı ve web siteleri ve güvenlik protokolleri hakkında kapsamlı bir inceleme başlattı.
Şirket, etkilenen üyelerin şüpheli faaliyetler için hesap beyanlarını ve kredi raporlarını izleyerek uyanık kalmasını önermektedir.
Bu, Blue Shield’ın bir yıldan kısa sürede ikinci önemli BT olayı işaret ediyor. 2024’te Blacksuit Fidye Yazılım Grubu, Blue Shield’ın yazılım çözümleri sağlayıcısı Connexure’a yapılan bir saldırının ardından yaklaşık bir milyon sağlık planı üyesinin verilerini çaldı.
ABD Sağlık Bakanlığı Sivil Haklar Ofisi’ne göre, bu ihlal şu anda 2025’teki sağlıkla ilgili en önemli veri ihlali olarak kabul edilmektedir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy