Онлайн-сервисы по восстановлению алкогольной зависимости Monument и Tempest признались, что в течение многих лет делились частной информацией о пациентах с рекламодателями, о чем ранее сообщал TechCrunch. В заявлении, поданном генеральному прокурору Калифорнии, Monument (который приобрел Temple в 2022 году) говорит, что инструменты отслеживания, используемые в обоих сервисах, «могли передавать» рекламодателям имена, даты рождения, адреса электронной почты, номера телефонов, домашние адреса, страховую информацию и многое другое.
Monument и Tempest, предоставляющие ресурсы для пациентов, борющихся с алкогольной зависимостью, утверждают, что утечка могла также включать ответы пациентов на самооценку их привычки употреблять алкоголь, что, по словам Monument, «защищено» и используется только группами по уходу. Компании возлагают вину за утечку на инструменты отслеживания пикселей, которые они включили на своих сайтах в рекламных целях.
Monument утверждает, что пересмотрела свое использование пикселей отслеживания после того, как в конце 2022 года правительство США выпустило руководство для медицинских компаний по их использованию. В бюллетене, опубликованном Министерством здравоохранения и социального обеспечения (HHS), агентство предупреждает медицинские компании о том, что они могут быть привлечены к ответственности за нарушение неприкосновенности частной жизни пациентов в результате использования инструментов отслеживания пикселей.
Пиксель-трекеры — это фрагменты кода, созданные такими компаниями, как Meta, Google, TikTok и Pinterest, которые часто встраиваются в рекламу, веб-сайты или электронные письма. Они отслеживают информацию о том, что нажимает пользователь или какие формы он заполняет, которая затем используется обеими сторонами для создания индивидуальной рекламы или лучшего понимания своих пользовательских баз.
Как отмечается в раскрытии информации, Monument обнаружила, что инструменты отслеживания пикселей раскрывали информацию о пользователях на сайте Monument с января 2020 года, а на Tempest — еще с ноября 2017 года. Monument утверждает, что перестала использовать «большинство» инструментов отслеживания в конце 2022 года и «полностью отключила» их от сайтов Monument к 23 февраля 2023 года.
Случаи Monument и Tempest удивительно похожи на недавние утечки данных с участием онлайновых медицинских сервисов BetterHelp, GoodRx и Cerebral, которые также были связаны с пиксельными трекерами. В прошлом месяце Федеральная торговая комиссия обязала BetterHelp и GoodRx выплатить 7,8 миллиона долларов за предполагаемый обмен информацией о пациентах с Facebook и Snapchat, а Cerebral недавно призналась в передаче личных данных более 3,1 миллиона пациентов Google, Meta, TikTok и другим сторонним рекламодателям.
В случае с Monument объем утечки информации варьируется от пользователя к пользователю; как заявляет компания, он зависит от «действий, совершенных вами на сайте Monument, конфигурации технологий отслеживания», а также от конфигурации веб-браузера, через который осуществлялся доступ к сайту. Monument утверждает, что утечка не включала номера социального страхования или информацию о кредитных картах, однако она могла затронуть чуть более 100 000 человек.
«Защита конфиденциальности наших пациентов является главным приоритетом», — сказал генеральный директор Monument Майк Рассел в заявлении, направленном по электронной почте в The Verge. «Мы ввели надежные меры защиты и будем продолжать принимать соответствующие меры для обеспечения безопасности данных. Кроме того, мы прекратили наши отношения со сторонними рекламодателями, которые не согласятся соблюдать наши договорные требования и действующее законодательство».