Blue Shield of California telah mengungkapkan bahwa salah konfigurasi di Google Analytics menyebabkan paparan informasi kesehatan sensitif yang tidak disengaja untuk 4,7 juta anggota. Antara April 2021 dan Januari 2024, data anggota tertentu secara tidak sengaja dibagikan dengan Google ADS – tanpa persetujuan atau pengetahuan orang -orang yang terkena dampak.
Dalam pemberitahuan pelanggaran resmi, perusahaan asuransi menyatakan: “Pada 11 Februari 2025, Blue Shield menemukan bahwa, antara April 2021 dan Januari 2024, Google Analytics dikonfigurasi dengan cara yang memungkinkan data anggota tertentu dibagikan dengan produk iklan Google, iklan Google, yang kemungkinan termasuk informasi kesehatan yang dilindungi.” Informasi yang bocor termasuk rincian rencana asuransi, kode pos, jenis kelamin, ukuran keluarga, pengidentifikasi akun Blue Shield yang ditugaskan, tanggal layanan klaim medis, nama penyedia, nama pasien, dan data tanggung jawab keuangan.
Menurut TechCrunch, Blue Shield telah menggunakan Google Analytics untuk memantau bagaimana pengguna menavigasi situs webnya. Namun, salah konfigurasi memungkinkan pengumpulan informasi pribadi dan terkait kesehatan, termasuk istilah pencarian yang digunakan pasien untuk menemukan penyedia layanan kesehatan. Perusahaan mengakui bahwa Google “mungkin telah menggunakan data ini untuk melakukan kampanye iklan yang terfokus kembali ke masing -masing anggota tersebut.”
Daftar lebih lanjut melaporkan bahwa pengaturan Blue Shield “akan mengirim data pengunjung ke Google Analytics,” yang kemudian meneruskannya ke iklan Google sebagai hasil dari masalah konfigurasi. Sebagai tanggapan, Blue Shield berusaha menenangkan kekhawatiran, menyatakan: “Kami ingin meyakinkan anggota kami bahwa tidak ada aktor buruk yang terlibat, dan, sepengetahuan kami, Google belum menggunakan informasi tersebut untuk tujuan apa pun selain dari iklan ini atau membagikan informasi yang dilindungi dengan siapa pun.”
Google, dalam sebuah pernyataan kepada TechCrunch, menanggapi: “Bisnis, bukan Google, mengelola data yang mereka kumpulkan dan harus memberi tahu pengguna tentang pengumpulan dan penggunaannya.”
Meskipun insiden itu disebabkan oleh pengawasan teknis, itu masih menimbulkan kekhawatiran serius tentang privasi digital dalam perawatan kesehatan. Situasi Blue Shield mencerminkan masalah yang lebih luas di industri ini, seperti Norton Healthcare Breach, di mana para penyerang mengeluarkan data pasien selama serangan siber. Sementara kasus Blue Shield tidak memiliki niat jahat, itu menggarisbawahi risiko mengandalkan alat pihak ketiga tanpa pengawasan menyeluruh.
Insiden ini juga mengundang perbandingan dengan pelanggaran kesehatan HCA 2023, di mana data pasien sengaja dicuri dan dijual. Meskipun Blue Shield mengatakan bahwa pihaknya memotong aliran data pada Januari 2024 dan meluncurkan tinjauan sistem di seluruh sistem, itu belum menawarkan layanan perlindungan identitas dan mengakui bahwa “tidak dapat mengkonfirmasi apakah informasi spesifik anggota tertentu terpengaruh.”