أكثر من اثنين سيتلقى مليون شخص في جميع أنحاء الولايات المتحدة إشعارًا بأن معلوماتهم الصحية الشخصية والحساسة قد سُرقت في وقت سابق من هذا العام خلال هجوم إلكتروني على Postmeds، الشركة الأم لشركة Truepill الناشئة للصيدلة على الإنترنت.

بالنسبة لبعض المتضررين، هذه هي المرة الأولى التي يسمعون فيها عن Postmeds، ناهيك عن ذلك فقدت الشركة معلوماتها الشخصية والصحية الحساسة أثناء خرق البيانات.

يبدو أيضًا أن أخبار خرق البيانات قد استحوذت على شركات الرعاية الصحية الناشئة التي كانت تعتمد في السابق على Postmeds للوفاء بالوصفات الطبية لعملائها.

Postmeds، أو Truepill، هي شركة ناشئة تعمل في مجال الصيدليات عبر الإنترنت يملأ الوصفات الطبية لخدمات الرعاية الصحية عن بعد ذات الأسماء الكبيرة والصيدليات الأخرى، ويرسلون الأدوية لعملائهم عبر البريد. قامت Postmeds، من خلال Truepill، باستيفاء الوصفات الطبية لعملاء فوكس, همس، و GoodRx، و الشركات الناشئة الأخرى الشهيرة في مجال الرعاية الصحية عن بعد عبر الإنترنت التي ظهرت في السنوات الأخيرة.

حتى لو لم تسمع أبدًا عن Postmeds، فربما تكون الشركة قد قامت بملء إحدى الوصفات الطبية الخاصة بك والتعامل مع معلوماتك. ويقول موقع Truepill الإلكتروني إنه قدم 20 مليون وصفة طبية لثلاثة ملايين شخص منذ تأسيسه في عام 2016.

أخبرت Postmeds مؤخرًا المنظمين الفيدراليين في إشعار مطلوب قانونًا أن 2.3 مليون فرد قد سُرقت معلوماتهم الشخصية في الانتهاك. وبدأت الشركة في إرسال إشعارات مكتوبة للأفراد المتضررين في أوائل نوفمبر.

خرق البيانات “يمثل خطراً كبيراً”

فيه إشعار خرق البياناتوقالت Postmeds إن المتسللين سرقوا مجموعة من البيانات الحساسة، بما في ذلك أسماء المرضى والمعلومات الديموغرافية – مثل تواريخ الميلاد – ونوع الأدوية الموصوفة واسم الوصف. في بعض الحالات، يمكن لهذه المعلومات أن تستنتج سبب تناول الدواء، والتي يمكن أن تتضمن معلومات طبية حساسة للغاية للشخص، مثل تفاصيل حول صحته العقلية والجنسية والإنجابية.

أخبر بعض أولئك الذين تلقوا رسائل إشعار بخرق البيانات موقع TechCrunch أنهم لم يكونوا على دراية بـ Postmeds ولماذا حصلت الشركة على معلوماتهم.

قال أحد عملاء Folx السابقين، الذي تلقى شريكه إشعارًا بخرق البيانات، لـ TechCrunch: “لقد مررت أنا وشريكي أيضًا بأوقات متداخلة كنا فيها مريضين بـ Folx، لكنني لم أتلق أي خطاب أبدًا”.

فوكس هيلث هي شركة رعاية صحية عن بعد تقدم خدماتها لمجتمع LGBTQIA +، مع الأطباء الذين يمكنهم وصف الأدوية التي تدعم رعاية تأكيد النوع الاجتماعي. وقالت Folx إنها استخدمت Truepill سابقًا لتلبية وصفات العملاء.

عندما اتصلت TechCrunch بالتعليق، قالت دانا كلايتون، الرئيس التنفيذي للعمليات في Folx، لـ TechCrunch: “أنهت Folx علاقتها مع Truepill في نوفمبر من عام 2022. نحن على اتصال مع Truepill بشأن الحادث ونعمل على تقييم أي تأثير محتمل على أعضائنا بسرعة. “

“مثل شركات الرعاية الصحية الأخرى، نرسل الوصفات الطبية إلى مجموعة واسعة من الصيدليات بناءً على اختيار الأعضاء، وتوافر الأدوية، والتكلفة، وعوامل أخرى. قال كلايتون: “تأخذ Folx خصوصية أعضائها على محمل الجد وتلزم شركائها بمعايير الأمان الأكثر صرامة”. “لقد كان خرق بيانات Truepil مصدرًا لخيبة أمل وقلق كبيرين بالنسبة لنا، وتلتزم Folx بإبقاء أعضائنا على اطلاع بينما نتعلم المزيد.”

قال عميل Folx السابق، الذي يعمل في مجال الأمن السيبراني، لـ TechCrunch أن خرق البيانات “يمثل خطرًا كبيرًا، خاصة بالنسبة لمجتمع من شأنه أن يخسر الكثير من خلال تعرض تلك البيانات للخطر”.

لم تعلق Postmeds علنًا بما يتجاوز إشعار خرق البيانات. طلبت TechCrunch من الرئيس التنفيذي لشركة Postmeds Paul Greenall في رسالة بريد إلكتروني تقديم قائمة بالشركات التي تعاونت Postmeds مع عملائها المتأثرين. ولم يرد جرينال.

قال شخص آخر تلقى خطاب إشعار بخرق البيانات إنه تم وصف جهاز مراقبة الجلوكوز المستمر له منذ عام أو نحو ذلك بدء تشغيل الصحة الأيضية مستويات الصحةوالتي تعتمد على شركة Truepill لتلبية وصفات عملائها الخاصة بأجهزة مراقبة نسبة الجلوكوز في الدم.

عندما اتصلت TechCrunch، لم تذكر شركة Levels ما إذا كان عملاؤها في الولايات المتحدة قد تأثروا باختراق Postmeds.

قالت كيت بيرتون بارلو، التي تمثل شركة Levels عبر وكالة تابعة لجهة خارجية، في رسالة بالبريد الإلكتروني إن شركة Levels “أقامت سابقًا علاقة مع Truepill في المملكة المتحدة تحسبًا لإطلاقها في المملكة المتحدة في المستقبل، لكن هذا الإطلاق لم يحدث، لذلك لا تقوم شركة Levels بذلك” لدينا أي عملاء في المملكة المتحدة يمكن أن يتأثروا بهذا”.

اتصلت TechCrunch بالعديد من شركات الرعاية الصحية التي اعتمدت على Truepill لتوزيع الأدوية وإرسالها بالبريد.

عندما اتصلت TechCrunch للتعليق، لم يشكك المتحدث باسم Hims خوبي بروكلين في أن بيانات العميل تأثرت بالانتهاك الذي شمل Truepill. لم يذكر المتحدث عدد عملاء Hims المتأثرين، لكنه أشار إلى أنه لم يتم صرف الوصفات الطبية لجميع عملاء Hims بواسطة Truepill.

“إن رعاية العملاء وأمن البيانات هما من أهم الأولويات في Hims & Hers، وقد استثمرنا بكثافة في كليهما، ونحن فخورون بسجلنا. وقالت بروكلين في بيان: “على الرغم من أن هذا لم يكن انتهاكًا لأنظمتنا أو بياناتنا، إلا أنه تذكير بمواصلة البقاء يقظين بشأن الخطوات التي نتخذها لحماية عملائنا”.

بدء تشغيل الرعاية الصحية عن بعد Cerebral، والذي يوفر خدمات الرعاية الصحية عن بعد والأدوية الموصوفة لحالات الصحة العقلية، أخبرت TechCrunch أنه ليس لديها علاقة عمل أو تشارك معلومات المريض مع Truepill منذ عام 2022. “حتى الآن، لم نر أي إشعار بحدوث انتهاك وليس لدينا أي سبب للاعتقاد بأن أي مريض دماغي [protected health information] وقالت المتحدثة باسم شركة Cerebral، بريتني هندرسون، في رسالة بالبريد الإلكتروني: “لقد تم الكشف عنها أو الوصول إليها بشكل غير مسموح به”. (كشفت شركة Cerebral بشكل منفصل في وقت سابق من هذا العام أنها قامت بذلك مشاركة ملايين بيانات المرضى مع المعلنين لعدة سنوات.)

لم تعلق العديد من الصيدليات الأخرى التي عملت مع Truepill عندما اتصلت بها TechCrunch قبل النشر.

كوست بلس، صيدلية على الإنترنت منخفضة التكلفة أسسها مارك كوبانولم تستجب شركة تروبيل، التي تعتمد على شركة Truepill لشحن الأدوية للعملاء، لطلبات التعليق. كوبي استثمرت مبلغًا لم يكشف عنه في Truepill في وقت سابق من عام 2023.

عملاق الرعاية الصحية والوصفات الطبية GoodRx تعتمد على Truepill كشريك لتسليم البريد. ولم تستجب المتحدثة باسم GoodRx Lauren Casparis لطلبات التعليق.

علمت TechCrunch أن شركة Nutrisense، وهي شركة ناشئة في مجال التكنولوجيا يوفر أجهزة مراقبة الجلوكوز المستمرة بوصفة طبيةيستخدم Truepill لتنفيذ بعض الطلبات. ولم يرد الرئيس التنفيذي لشركة Nutrisense Alex Skryl على رسالة بريد إلكتروني تطلب التعليق.

اتصال HIPAA

ليس من غير المألوف أن تقوم شركات التكنولوجيا أو الرعاية الصحية بمشاركة بيانات المرضى مع شركات أخرى، مثل الصيدليات الخارجية أو الصيدليات المتخصصة، لتلبية خدماتها.

مقدمو الرعاية الصحية في الولايات المتحدة، مثل مكاتب الأطباء والصيدليات وشركات التأمين تخضع لقواعد الخصوصية والأمن الصحية المنصوص عليها في قانون قابلية نقل التأمين الصحي والمساءلة، أو HIPAA، والذي يحكم جزئيًا كيفية إدارة مقدمي الرعاية الصحية لأمن بيانات المرضى وخصوصيتهم بشكل صحيح. يمكن أن يؤدي الوقوع في خطأ قانون HIPAA إلى فرض غرامات باهظة.

لكن الكثير من الشركات الناشئة في مجال الرعاية الصحية عن بعد لا تعتبر “كيانات مغطاة” بموجب قانون HIPAA، وغالبًا ما لا ينطبق قانون HIPAA، لأن الشركات الناشئة نفسها لا تقدم الرعاية، بل تقوم بربط المرضى بمقدمي الرعاية الصحية.

كما تلاحظ تقارير المستهلك، HIPAA “يضع قواعد الخصوصية لمقدمي الرعاية الصحية وشركات التأمين ليتبعوها عندما يتعاملون مع البيانات الطبية المحددة للهوية”، ولكن نفس المعلومات المحمية في عيادة الطبيب “يمكن أن تكون غير منظمة تمامًا في أماكن أخرى.”

يشير كل من Hims وCerebral في سياسات الخصوصية الخاصة بهما إلى أنه على الرغم من إمكانية تطبيق قوانين الخصوصية في الولاية، إلا أن قانون HIPAA “لا ينطبق بالضرورة على كيان أو شخص لمجرد وجود معلومات صحية معنية”. الشركات التي تقول إنها “متوافقة مع قانون HIPAA” يمكن أن تعني أن قانون HIPAA لا ينطبق عليها.

ال ليس لدى الولايات المتحدة قانون وطني لأمن البيانات أو الخصوصية، ويعتمد بدلاً من ذلك على خليط من قوانين الولاية التي تختلف من ولاية إلى أخرى. يعيش معظم الأميركيين في ولايات ليس لديها سوى القليل من الحماية ضد مشاركة معلومات الشخص.

وبدلاً من ذلك، عادةً ما توضح الشركات كيفية تعاملها مع بيانات العملاء أو المرضى في سياسة الخصوصية الخاصة بهم، ولكنهم ليسوا ملزمين بالكشف عن الشركات المحددة التي يعملون معها.

الشخصان، اللذان تلقيا رسائل إخطار بخرق البيانات من Postmeds وتحدثا معنا بشأن هذه القصة، انتقدا الشركات التي أصدرت وصفاتها الطبية لافتقارها إلى الشفافية حول هوية شركائها التجاريين وأي من هؤلاء الشركاء سيتلقى معلوماتهم الشخصية الحساسة.

“بمجرد أن حصلت على طردي الأول ورأيت “Truepill” على الصندوق من Folx، أدركت، في وقت متأخر من جانبي، أن بياناتي قد تم إرسالها إلى منظمة لم أقم شخصيًا بالدخول في علاقة ثقة معها”. قال مستخدم Folx السابق لـ TechCrunch.

تحتوي العديد من المواضيع على Reddit على تعليقات من الأشخاص الذين تلقوا إشعارات خرق البيانات من Postmeds، لكنهم غير متأكدين من الشركة التي زودت Postmeds بمعلوماتهم.

قال أحد الأشخاص: “لقد تلقيت للتو هذه الرسالة وليس لدي أي فكرة عن الطبيب الذي سيمر به هذا الأمر”. “تلقيت أيضًا هذه الرسالة. قال آخر: “لا علم بالشركة”.

الاختراق هو الحادث الأخير الذي وقع لشركة Truepill المحاصرة.

خضعت Truepill عدة جولات من تسريح العمال في عام 2022، بما في ذلك مجموعات كبيرة من فريق منتجاتها وجميع موظفيها في المملكة المتحدة. في سبتمبر، كان المؤسس المشارك لشركة Truepill، سيد فيسواناثان طرد من الشركة.

وفي وقت سابق من هذا الشهر، توصلت شركة Truepill إلى تسوية مع إدارة مكافحة المخدرات الأمريكية تدعي أنها كذلك صرف آلاف الوصفات الطبية للمواد الخاضعة للرقابة بشكل غير قانوني، حيث قبلت شركة Truepill “المسؤولية عن تشغيل صيدلية غير مسجلة على الإنترنت”.

---