Mais de dois milhões de pessoas nos Estados Unidos receberão um aviso de que suas informações pessoais e confidenciais de saúde foram roubadas no início deste ano durante um ataque cibernético na Postmeds, empresa-mãe da startup de farmácias on-line Truepill.
Para algumas das pessoas afetadas, é a primeira vez que ouvem falar de Postmeds, muito menos disso a empresa perdeu suas informações pessoais e de saúde confidenciais durante a violação de dados.
A notícia da violação de dados também pareceu pegar desprevenidas startups de saúde que anteriormente dependiam da Postmeds para atender às prescrições de seus clientes.
Postmeds, ou Truepill, é uma startup de atendimento de farmácias on-line que preenche prescrições para serviços de telessaúde de renome e outras farmáciase envia medicamentos para seus clientes. A Postmeds, por meio da Truepill, atendeu prescrições para clientes de Folx, Elee BomRxe outras startups populares de telessaúde online que surgiram nos últimos anos.
Mesmo que você nunca tenha ouvido falar de Postmeds, a empresa pode ter aviado uma de suas receitas e tratado suas informações. O site da Truepill afirma que entregou 20 milhões de receitas a três milhões de pessoas desde a sua fundação em 2016.
Postmeds informou recentemente aos reguladores federais, em um aviso legalmente exigido, que 2,3 milhões de indivíduos tiveram suas informações pessoais roubadas na violação. A empresa começou a enviar avisos por escrito aos indivíduos afetados no início de novembro.
A violação de dados “apresenta um risco enorme”
Em seu aviso de violação de dados, Postmeds disse que os hackers roubaram uma série de dados confidenciais, incluindo nomes de pacientes e informações demográficas – como datas de nascimento – o tipo de medicamentos prescritos e o nome do prescritor. Em alguns casos, essas informações podem inferir a razão para tomar a medicação, o que pode incluir informações médicas altamente confidenciais de uma pessoa, tais como detalhes sobre a sua saúde mental, sexual e reprodutiva.
Alguns dos que receberam cartas de notificação de violação de dados disseram ao TechCrunch que não estavam familiarizados com o Postmeds e por que a empresa tinha suas informações.
“Eu e meu parceiro também tivemos momentos coincidentes em que éramos pacientes do Folx, mas nunca recebi uma carta”, disse ao TechCrunch um ex-cliente do Folx, cujo parceiro recebeu uma notificação de violação de dados.
Folx Saúde é uma empresa de telessaúde que atende a comunidade LGBTQIA+, com médicos que podem prescrever medicamentos que apoiam cuidados de afirmação de género. A Folx disse que já usou o Truepill para atender às prescrições dos clientes.
Quando contatado pelo TechCrunch para comentar, o diretor de operações da Folx, Dana Clayton, disse ao TechCrunch: “A Folx encerrou seu relacionamento com a Truepill em novembro de 2022. Entramos em contato com a Truepill sobre o incidente e estamos trabalhando para avaliar rapidamente qualquer impacto potencial para nossos membros. ”
“Assim que recebi meu primeiro pacote e vi ‘Truepill’ na caixa da Folx, percebi, reconhecidamente tarde da minha parte, que meus dados haviam sido enviados para uma organização com a qual eu pessoalmente não tinha estabelecido uma relação de confiança.” Ex-cliente da Folx
“Como outras empresas de saúde, enviamos receitas para uma ampla variedade de farmácias com base na escolha do membro, disponibilidade de medicamentos, custo e outros fatores. A Folx leva a sério a privacidade de seus membros e exige que seus parceiros sigam os mais rígidos padrões de segurança”, disse Clayton. “A violação de dados da Truepill tem sido motivo de considerável decepção e preocupação para nós, e a Folx está empenhada em manter nossos membros informados à medida que aprendemos mais.”
O ex-cliente da Folx, que trabalha com segurança cibernética, disse ao TechCrunch que a violação de dados “apresenta um risco enorme, especialmente para uma comunidade que pode perder muito mais se esses dados forem comprometidos”.
Postmeds não comentou publicamente além do aviso de violação de dados. O TechCrunch pediu ao presidente-executivo da Postmeds, Paul Greenall, por e-mail, que fornecesse uma lista de empresas com as quais a Postmeds fez parceria e cujos clientes foram afetados. Greenall não respondeu.
Outra pessoa que recebeu uma carta de notificação de violação de dados disse que lhe foi prescrito um monitor contínuo de glicose há cerca de um ano por startup de saúde metabólica Levels Healthque conta com a Truepill para atender às prescrições de monitores de glicose no sangue de seus clientes.
Quando contatada pelo TechCrunch, a Levels não informou se seus clientes nos Estados Unidos foram afetados pela violação do Postmeds.
Kate Burton-Barlow, representando a Levels por meio de uma agência terceirizada, disse em um e-mail que a Levels “estabeleceu anteriormente um relacionamento com a Truepill no Reino Unido em antecipação a um futuro lançamento no Reino Unido, mas esse lançamento não ocorreu, então a Levels não tem algum cliente no Reino Unido que isso possa ter afetado.”
O TechCrunch contatou várias empresas de saúde que dependiam do Truepill para dispensar e enviar medicamentos.
Quando contatado pelo TechCrunch para comentar, o porta-voz da Hims, Khobi Brooklyn, não contestou que os dados do cliente foram afetados pela violação envolvendo Truepill. O porta-voz não disse quantos clientes da Hims foram afetados, mas observou que nem todos os clientes da Hims tiveram suas receitas aviadas pela Truepill.
“O atendimento ao cliente e a segurança dos dados são as principais prioridades da Hims & Hers. Investimos pesadamente em ambos e estamos orgulhosos do nosso histórico. Embora isso não tenha sido uma violação de nossos sistemas ou dados, é um lembrete para continuarmos vigilantes em relação às medidas que tomamos para proteger nossos clientes”, disse Brooklyn em comunicado.
A startup de telessaúde Cerebral, que fornece serviços de telessaúde e medicamentos prescritos para problemas de saúde mental, disse ao TechCrunch que não mantém um relacionamento comercial ou compartilha informações de pacientes com Truepill desde 2022. “Até o momento, não vimos nenhuma notificação de violação e não temos motivos para acreditar que qualquer paciente cerebral [protected health information] foi divulgado ou acessado de forma inadmissível”, disse a porta-voz da Cerebral, Brittney Henderson, por e-mail. (A Cerebral divulgou separadamente no início deste ano que havia compartilhou milhões de dados de pacientes com anunciantes por muitos anos.)
Várias outras farmácias que trabalharam com Truepill não comentaram quando contatadas pelo TechCrunch antes da publicação.
CostPlus, o farmácia on-line de baixo custo fundada por Mark Cuban, que depende da Truepill para enviar medicamentos aos clientes, não respondeu aos pedidos de comentários. cubano investiu uma quantia não revelada na Truepill no início de 2023.
Gigante de cupons de saúde e prescrição GoodRx conta com a Truepill como parceira de entrega de correspondência. A porta-voz da GoodRx, Lauren Casparis, não respondeu aos pedidos de comentários.
O TechCrunch descobriu que a Nutrisense, uma startup de tecnologia que fornece monitores contínuos de glicose mediante prescrição, usa Truepill para atender alguns pedidos. O presidente-executivo da Nutrisense, Alex Skryl, não respondeu a um e-mail solicitando comentários.
A conexão HIPAA
Não é incomum que empresas de tecnologia ou de saúde compartilhem dados de pacientes com outras empresas, como farmácias terceirizadas ou especializadas, para prestar seus serviços.
Os prestadores de cuidados de saúde dos EUA, como consultórios médicos e farmácias, e companhias de seguros estão sujeito às regras de privacidade e segurança sanitária estabelecido na Lei de Responsabilidade e Portabilidade de Seguros de Saúde, ou HIPAA, que rege em parte como os prestadores de cuidados de saúde devem gerenciar adequadamente a segurança e a privacidade dos dados dos pacientes. Infringir a HIPAA pode resultar em multas pesadas.
Mas muitas startups de telessaúde não são consideradas “entidades cobertas” pela HIPAA, e a HIPAA muitas vezes não se aplica, porque as próprias startups não prestam cuidados, mas conectam pacientes com prestadores de cuidados de saúde.
Como observa o Consumer Reportsa HIPAA “estabelece regras de privacidade que os prestadores de cuidados de saúde e as companhias de seguros devem seguir quando lidam com dados médicos de identificação pessoal”, mas a mesma informação protegida num consultório médico “pode ser totalmente não regulamentada noutros ambientes”.
Tanto a Hims quanto a Cerebral observam em suas políticas de privacidade que, embora as leis estaduais de privacidade possam ser aplicadas, a HIPAA “não se aplica necessariamente a uma entidade ou pessoa simplesmente porque há informações de saúde envolvidas”. As empresas que dizem que estão “em conformidade com a HIPAA” podem significar que a HIPAA não se aplica a elas.
O Os EUA não têm uma lei nacional de segurança de dados ou de privacidadee, em vez disso, depende de uma colcha de retalhos de leis estaduais que variam de estado para estado. A maioria dos americanos vive em estados que têm pouca ou nenhuma proteção contra o compartilhamento de informações pessoais.
Em vez disso, as empresas geralmente explicam como lidam com os dados de clientes ou pacientes em sua política de privacidademas não são obrigados a divulgar com quais empresas específicas trabalham.
As duas pessoas, que receberam cartas de notificação de violação de dados da Postmeds e falaram connosco para esta história, criticaram as empresas que emitiram as suas receitas por falta de transparência sobre quem são os seus parceiros de negócios e quais desses parceiros receberiam as suas informações pessoais sensíveis.
“Assim que recebi meu primeiro pacote e vi ‘Truepill’ na caixa da Folx, percebi, reconhecidamente tarde da minha parte, que meus dados haviam sido enviados para uma organização com a qual eu pessoalmente não tinha estabelecido uma relação de confiança,” o ex-usuário do Folx disse ao TechCrunch.
Vários tópicos no Reddit têm comentários de pessoas que receberam notificações de violação de dados da Postmeds, mas não têm certeza de qual empresa forneceu suas informações à Postmeds.
“Acabei de receber esta carta e não tenho ideia de qual médico isso passaria”, disse uma pessoa. “Também recebi esta carta. Nenhum conhecimento da empresa”, disse outro.
A violação é o último incidente que aconteceu com o Truepill em apuros.
Truepill foi submetido várias rodadas de demissões em 2022, incluindo grande parte de sua equipe de produtos e todos os seus funcionários no Reino Unido. Em setembro, o cofundador da Truepill, Sid Viswanathan, foi expulso da empresa.
No início deste mês, a Truepill fez um acordo com a Administração Antidrogas dos EUA, alegando que distribuiu ilegalmente milhares de receitas de substâncias controladasem que Truepill “aceitou a responsabilidade por operar uma farmácia online não registrada”.
Você trabalha em uma organização de saúde afetada pela violação do Postmeds/Truepill? Você pode entrar em contato com Zack Whittaker no Signal e WhatsApp em +1 646-755-8849 ou por email; você também pode entrar em contato com Carly Page com segurança no Signal pelo telefone +441536 853968 ou por e-mail. Você também pode entrar em contato com o TechCrunch via SecureDrop.
