[ad_1]
Más de dos Millones de personas en todo Estados Unidos están siendo informadas de que su información de salud personal y confidencial fue robada en un ciberataque a Postmeds, la empresa matriz de la startup de farmacia en línea Truepill, a principios de este año.
Para algunos de los afectados, es la primera vez que oyen hablar de Postmeds, sin mencionar que la empresa perdió su información personal y de salud confidencial durante la violación de datos.
La noticia de la violación de datos también pareció sorprender a las nuevas empresas de atención médica que anteriormente habían confiado en Postmeds para cumplir con las recetas de sus clientes.
Postmeds, o Truepill, es una nueva empresa de cumplimiento de farmacias en línea que surte recetas para los principales servicios de telesalud y otras farmacias y envía medicamentos a sus clientes por correo. Postmeds ha surtido recetas a través de Truepill para clientes de Folx, Hims y GoodRx, así como para otras populares empresas emergentes de telemedicina en línea que han surgido en los últimos años.
Incluso si nunca ha oído hablar de Postmeds, es posible que la empresa haya surtido una de sus recetas y procesado sus datos. El sitio web de Truepill dice que la compañía ha dispensado 20 millones de recetas a tres millones de personas desde su fundación en 2016.
Postmeds informó recientemente a los reguladores federales en un aviso legalmente requerido que en la infracción se robó información personal de 2,3 millones de personas. La empresa comenzó a enviar avisos por escrito a las personas afectadas a principios de noviembre.
La violación de datos “representa un riesgo importante”
En su aviso de violación de datos, Postmeds dijo que los piratas informáticos robaron una gran cantidad de datos confidenciales, incluidos nombres de pacientes e información demográfica (como fechas de nacimiento), el tipo de medicamento recetado y el nombre del médico que lo recetó. En algunos casos, esta información puede proporcionar información sobre el motivo por el que se toma el medicamento. Esto puede incluir información médica altamente confidencial de una persona, como detalles sobre su salud mental, sexual y reproductiva.
Algunos de los que recibieron cartas de notificación de incumplimiento dijeron a TechCrunch que no estaban familiarizados con Postmeds y no sabían por qué la empresa tenía su información.
«Mi socio y yo también tuvimos períodos superpuestos en los que ambos éramos pacientes de Folx, pero nunca recibí una carta», dijo a TechCrunch un ex cliente de Folx cuyo socio recibió una notificación de violación de datos.
Folx Health es una empresa de telesalud que presta servicios a la comunidad LGBTQIA+ y cuenta con médicos que pueden recetar medicamentos que respaldan la atención de afirmación de género. Folx dijo que anteriormente había utilizado Truepill para surtir las recetas de los clientes.
Cuando TechCrunch se puso en contacto con TechCrunch para hacer comentarios, la directora de operaciones de Folx, Dana Clayton, dijo a TechCrunch: “Folx terminó su relación con Truepill en noviembre de 2022. Estamos en contacto con Truepill con respecto al incidente y estamos trabajando para evaluar rápidamente cualquier impacto potencial en nuestros miembros”.
«Cuando recibí mi primer paquete y vi «Truepill» en el paquete de Folx, me di cuenta, aunque tardíamente, de que mi información había sido enviada a una organización en la que no tenía ninguna confianza personal». Antiguo cliente de Folx
“Al igual que otras compañías de atención médica, enviamos recetas a una variedad de farmacias según la elección de los miembros, la disponibilidad de medicamentos, el costo y otros factores. «Folx se toma en serio la privacidad de sus miembros y exige que sus socios cumplan con los estándares de seguridad más estrictos», dijo Clayton. «La filtración de datos de Truepill nos ha causado una gran decepción y preocupación, y Folx se compromete a mantener informados a nuestros miembros a medida que sepamos más».
El ex cliente de Folx, que trabaja en ciberseguridad, dijo a TechCrunch que la violación de datos «representa un riesgo enorme, especialmente para una comunidad que podría perder mucho más si estos datos se ven comprometidos».
Postmeds no ha hecho comentarios públicos más allá de anunciar una violación de datos. TechCrunch le pidió al director ejecutivo de Postmeds, Paul Greenall, en un correo electrónico que proporcionara una lista de empresas con las que Postmeds ha trabajado y cuyos clientes se han visto afectados. Greenall no respondió.
Otra persona que recibió una carta de notificación de violación de datos dijo que hace aproximadamente un año le recetó un monitor continuo de glucosa la startup de salud metabólica Levels Health, que depende de Truepill para surtir las recetas de medidores de glucosa en sangre de sus clientes.
Cuando TechCrunch lo contactó, Levels no dijo si sus clientes en los Estados Unidos se vieron afectados por la violación de Postmeds.
Kate Burton-Barlow, que representa a Levels a través de una agencia externa, dijo en un correo electrónico que Levels «había establecido previamente una relación con Truepill en el Reino Unido en anticipación de un futuro lanzamiento en el Reino Unido, pero ese lanzamiento no se ha producido, por lo que Levels es hacerlo». ninguno de los dos. «Tengo clientes británicos que podrían verse afectados por esto».
TechCrunch se puso en contacto con varias empresas de atención médica que confiaban en Truepill para dispensar y enviar medicamentos.
Cuando TechCrunch le pidió comentarios, el portavoz de Hims, Khobi Brooklyn, no negó que los datos de los clientes se vieran afectados por la violación de Truepill. El portavoz no dijo cuántos clientes de Hims se vieron afectados, pero señaló que no todos los clientes de Hims obtuvieron sus recetas de Truepill.
“La atención al cliente y la seguridad de los datos son las principales prioridades en Hims & Hers. Hemos invertido mucho en ambos y estamos orgullosos de nuestros éxitos. Si bien esto no fue una violación de nuestros sistemas o datos, es un recordatorio de que debemos seguir atentos y tomar las medidas que tomamos para proteger a nuestros clientes”, dijo Brooklyn en un comunicado.
La startup de telemedicina Cerebral, que ofrece servicios de telesalud y medicamentos recetados para afecciones de salud mental, dijo a TechCrunch que ya no tiene una relación comercial con Truepill ni comparte datos de pacientes desde 2022. No tiene motivos para creer que sea un paciente cerebral. [protected health information] fue divulgado o accedido indebidamente”, dijo la portavoz de Cerebral, Brittney Henderson, en un correo electrónico. (Cerebral reveló por separado a principios de este año que compartió millones de datos de pacientes con anunciantes durante varios años).
Varias otras farmacias que han trabajado con Truepill no hicieron comentarios cuando TechCrunch las contactó antes de la publicación.
CostPlus, la farmacia en línea de bajo costo fundada por Mark Cuban que depende de Truepill para enviar medicamentos a los clientes, no respondió a las solicitudes de comentarios. Cuban invirtió una cantidad no revelada en Truepill a principios de 2023.
GoodRx, el gigante de los cupones de salud y recetas, confía en Truepill como su socio de entrega de correo. La portavoz de GoodRx, Lauren Casparis, no respondió a las solicitudes de comentarios.
TechCrunch se enteró de que Nutrisense, una startup tecnológica que ofrece monitores continuos de glucosa recetados, está utilizando Truepill para cumplir con algunos pedidos. El director ejecutivo de Nutrisense, Alex Skryl, no respondió a un correo electrónico en busca de comentarios.
La conexión HIPAA
No es raro que las empresas de tecnología o atención médica compartan datos de pacientes con otras empresas, como farmacias especializadas o de terceros, para prestar sus servicios.
Los proveedores de atención médica de EE. UU., como consultorios médicos, farmacias y compañías de seguros, están sujetos a las normas de seguridad y protección de la salud establecidas en la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA), que rige, en parte, cómo los proveedores de atención médica deben gestionar adecuadamente la seguridad de la privacidad del paciente. La violación de HIPAA puede resultar en multas elevadas.
Sin embargo, muchas nuevas empresas de telemedicina no se consideran “entidades cubiertas” según la HIPAA, y la HIPAA a menudo no se aplica porque las nuevas empresas en sí no brindan atención, sino que conectan a los pacientes con los proveedores de atención médica.
Como señala Consumer Reports, HIPAA «establece reglas de privacidad que los proveedores de atención médica y las compañías de seguros deben seguir al procesar información médica personal», pero la misma información protegida en el consultorio de un médico «puede no estar completamente regulada en otras situaciones».
Tanto Hims como Cerebral señalan en sus políticas de privacidad que, si bien pueden aplicarse las leyes estatales de privacidad, HIPAA «no se aplica necesariamente a una entidad o individuo simplemente porque se trata de información de salud». Las empresas que afirman que “cumplen con HIPAA” pueden significar que HIPAA no se les aplica.
Estados Unidos no tiene una ley nacional de privacidad o seguridad de datos y, en cambio, se basa en un mosaico de leyes estatales que varían de un estado a otro. La mayoría de los estadounidenses viven en estados que ofrecen poca o ninguna protección contra el intercambio de información personal.
En cambio, las empresas suelen revelar cómo manejan los datos de sus clientes o pacientes en su política de privacidad, pero no están obligadas a revelar con qué empresas específicas trabajan.
Las dos personas que recibieron las cartas de notificación de violación de datos de Postmed y hablaron con nosotros para esta historia criticaron a las empresas que surtieron sus recetas por una falta de transparencia sobre quiénes eran sus socios comerciales y cuáles de esos socios recibirían su información personal confidencial.
«Cuando recibí mi primer paquete y vi «Truepill» en el paquete de Folx, me di cuenta, aunque tardíamente, de que mi información había sido enviada a una organización en la que no tenía ninguna confianza personal», dijo el ex usuario de Folx a TechCrunch.
Varios hilos en Reddit contienen comentarios de personas que recibieron notificaciones de violación de datos de Postmeds pero no están seguras de qué empresa proporcionó su información a Postmeds.
“Acabo de recibir esta carta y no tengo idea de qué médico me podría enviar”, dijo una persona. “También recibí esta carta. No tengo conocimiento de la empresa”, dijo otro.
La infracción es el último incidente en la asediada Truepill.
Truepill experimentó varias rondas de despidos en 2022, incluidos gran parte de su equipo de producto y todos sus empleados del Reino Unido. En septiembre, el cofundador de Truepill, Sid Viswanathan, se vio obligado a abandonar la empresa.
A principios de este mes, Truepill llegó a un acuerdo con la Agencia Antidrogas de EE. UU., alegando que la compañía despachó ilegalmente miles de recetas de sustancias controladas, y Truepill «aceptó la responsabilidad de operar una farmacia en línea no registrada».
¿Trabaja en una organización de atención médica afectada por la infracción de Postmeds/Truepill? Puede comunicarse con Zack Whittaker a través de Signal y WhatsApp al +1 646-755-8849 o por correo electrónico; También puede comunicarse con Carly Page de forma segura a través de Signal al +441536 853968 o por correo electrónico. También puede ponerse en contacto con TechCrunch a través de SecureDrop.
[ad_2]