Más de dos Millones de personas en todo Estados Unidos recibirán una notificación de que su información de salud personal y confidencial fue robada a principios de este año durante un ataque cibernético a Postmeds, la empresa matriz de la startup de farmacia en línea Truepill.
Para algunos de los afectados, es la primera vez que oyen hablar de Postmeds, y mucho menos de que la empresa perdió su información personal y de salud confidencial durante la violación de datos.
La noticia de la violación de datos también pareció tomar desprevenidas a las nuevas empresas de atención médica que anteriormente dependían de Postmeds para cumplir con las recetas de sus clientes.
Postmeds, o Truepill, es una nueva empresa de cumplimiento de farmacias en línea que surte recetas para servicios de telesalud de renombre y otras farmacias, y envía medicamentos por correo a sus clientes. Postmeds, a través de Truepill, ha cumplido recetas para clientes de Folx, Hims y GoodRx, y otras populares empresas emergentes de telesalud en línea que han surgido en los últimos años.
Incluso si nunca ha oído hablar de Postmeds, es posible que la empresa haya surtido una de sus recetas y haya manejado su información. El sitio web de Truepill dice que ha entregado 20 millones de recetas a tres millones de personas desde su fundación en 2016.
Postmeds informó recientemente a los reguladores federales en un aviso legalmente requerido que a 2,3 millones de personas les robaron su información personal en la infracción. La empresa comenzó a enviar avisos por escrito a las personas afectadas a principios de noviembre.
La violación de datos “representa un riesgo enorme”
En su aviso de violación de datos, Postmeds dijo que los piratas informáticos robaron una gran cantidad de datos confidenciales, incluidos nombres de pacientes e información demográfica (como fechas de nacimiento), el tipo de medicamentos recetados y el nombre de quien receta. En algunos casos, esa información puede inferir el motivo por el que se toma el medicamento, que puede incluir información médica altamente sensible de una persona, como detalles sobre su salud mental, sexual y reproductiva.
Algunos de los que recibieron cartas de notificación de violación de datos dijeron a TechCrunch que no estaban familiarizados con Postmeds y por qué la empresa tenía su información.
«Mi socio y yo también tuvimos momentos superpuestos en los que ambos éramos pacientes de Folx, pero nunca recibí una carta», dijo a TechCrunch un ex cliente de Folx, cuyo socio recibió una notificación de violación de datos.
Folx Health es una empresa de telesalud que atiende a la comunidad LGBTQIA+, con médicos que pueden recetar medicamentos que respalden la atención de afirmación de género. Folx dijo que anteriormente utilizó Truepill para cumplir con las recetas de los clientes.
Cuando TechCrunch lo contactó para hacer comentarios, la directora de operaciones de Folx, Dana Clayton, dijo a TechCrunch: “Folx terminó su relación con Truepill en noviembre de 2022. Estamos en contacto con Truepill sobre el incidente y estamos trabajando para evaluar rápidamente cualquier impacto potencial para nuestros miembros. «
«Una vez que recibí mi primer paquete y vi ‘Truepill’ en la caja de Folx, me di cuenta, aunque tarde por mi parte, de que mis datos habían sido enviados a una organización con la que personalmente no había establecido una relación de confianza». Antiguo cliente de Folx
“Al igual que otras empresas de atención médica, enviamos recetas a una amplia gama de farmacias según la elección de los miembros, la disponibilidad de medicamentos, el costo y otros factores. Folx se toma en serio la privacidad de sus miembros y exige a sus socios que cumplan con los estándares de seguridad más estrictos”, dijo Clayton. «La filtración de datos de Truepil ha sido motivo de considerable decepción y preocupación para nosotros, y Folx se compromete a mantener informados a nuestros miembros a medida que sepamos más».
El ex cliente de Folx, que trabaja en ciberseguridad, dijo a TechCrunch que la violación de datos «presenta un riesgo enorme, especialmente para una comunidad que puede perder mucho más si esos datos se ven comprometidos».
Postmeds no ha hecho comentarios públicos más allá de su aviso de violación de datos. TechCrunch le pidió al director ejecutivo de Postmeds, Paul Greenall, en un correo electrónico que proporcionara una lista de empresas con las que Postmeds se asoció cuyos clientes se ven afectados. Greenall no respondió.
Otra persona que recibió una carta de notificación de violación de datos dijo que hace aproximadamente un año le recetó un monitor continuo de glucosa la startup de salud metabólica Levels Health, que depende de Truepill para cumplir con las prescripciones de sus clientes para monitores de glucosa en sangre.
Cuando TechCrunch lo contactó, Levels no dijo si sus clientes en los Estados Unidos se ven afectados por la violación de Postmeds.
Kate Burton-Barlow, que representa a Levels a través de una agencia externa, dijo en un correo electrónico que Levels “anteriormente estableció una relación con Truepill en el Reino Unido en anticipación de un futuro lanzamiento en el Reino Unido, pero ese lanzamiento no se ha llevado a cabo, por lo que Levels no Tengo algún cliente del Reino Unido que esto podría haber afectado”.
TechCrunch se puso en contacto con varias empresas de atención médica que confiaban en Truepill para dispensar y enviar medicamentos por correo.
Cuando TechCrunch lo contactó para hacer comentarios, el portavoz de Hims, Khobi Brooklyn, no cuestionó que los datos de los clientes se vieran afectados por la violación que involucraba a Truepill. El portavoz no dijo cuántos clientes de Hims se ven afectados, pero señaló que no todos los clientes de Hims obtuvieron sus recetas con Truepill.
“La atención al cliente y la seguridad de los datos son las principales prioridades en Hims & Hers, hemos invertido mucho en ambas y estamos orgullosos de nuestro historial. Si bien esto no fue una violación de nuestros sistemas o datos, es un recordatorio de que debemos seguir atentos a las medidas que tomamos para proteger a nuestros clientes”, dijo Brooklyn en un comunicado.
La startup de telesalud Cerebral, que brinda servicios de telesalud y medicamentos recetados para afecciones de salud mental, dijo a TechCrunch que no ha tenido una relación comercial ni ha compartido información de pacientes con Truepill desde 2022. “Hasta la fecha, no hemos visto ninguna notificación de infracción y No tengo ninguna razón para creer que cualquier paciente cerebral [protected health information] ha sido divulgado o accedido de manera inadmisible”, dijo la portavoz de Cerebral, Brittney Henderson, en un correo electrónico. (Cerebral reveló por separado a principios de este año que había compartido millones de datos de pacientes con anunciantes durante varios años).
Varias otras farmacias que trabajaron con Truepill no hicieron comentarios cuando TechCrunch las contactó antes de la publicación.
CostPlus, la farmacia en línea de bajo costo fundada por Mark Cuban, que depende de Truepill para enviar medicamentos a los clientes, no respondió a las solicitudes de comentarios. Cuban invirtió una cantidad no revelada en Truepill a principios de 2023.
GoodRx, el gigante de los cupones de medicamentos y atención médica, confía en Truepill como su socio de entrega de correo. La portavoz de GoodRx, Lauren Casparis, no respondió a las solicitudes de comentarios.
TechCrunch se enteró de que Nutrisense, una startup tecnológica que proporciona monitores continuos de glucosa con receta, utiliza Truepill para cumplir con algunos pedidos. El director ejecutivo de Nutrisense, Alex Skryl, no respondió a un correo electrónico solicitando comentarios.
La conexión HIPAA
No es raro que las empresas de tecnología o atención médica compartan datos de pacientes con otras empresas, como farmacias especializadas o de terceros, para prestar sus servicios.
Los proveedores de atención médica de EE. UU., como los consultorios médicos y las farmacias, y las compañías de seguros están sujetos a las reglas de seguridad y privacidad de la salud establecidas en la Ley de Responsabilidad y Portabilidad del Seguro Médico, o HIPAA, que en parte rige cómo los proveedores de atención médica deben administrar adecuadamente la seguridad de los datos de los pacientes y privacidad. Incumplir la HIPAA puede resultar en fuertes multas.
Pero muchas nuevas empresas de telesalud no se consideran “entidades cubiertas” según la HIPAA, y la HIPAA a menudo no se aplica, porque las nuevas empresas en sí no brindan atención, sino que conectan a los pacientes con los proveedores de atención médica.
Como señala Consumer Reports, HIPAA “establece reglas de privacidad que deben seguir los proveedores de atención médica y las compañías de seguros cuando manejan datos médicos de identificación personal”, pero la misma información protegida en el consultorio de un médico “puede no estar regulada en absoluto en otros entornos. «
Tanto Hims como Cerebral señalan en sus políticas de privacidad que, si bien pueden aplicarse leyes estatales de privacidad, HIPAA «no necesariamente se aplica a una entidad o persona simplemente porque hay información de salud involucrada». Las empresas que dicen que “cumplen con HIPAA” pueden significar que HIPAA no se les aplica.
Estados Unidos no tiene una ley nacional de privacidad o seguridad de datos y, en cambio, se basa en un mosaico de leyes estatales que varían de un estado a otro. La mayoría de los estadounidenses viven en estados que tienen poca o ninguna protección contra el intercambio de información personal.
En cambio, las empresas suelen explicar cómo manejan los datos de los clientes o pacientes en su política de privacidad, pero no están obligadas a revelar con qué empresas específicas trabajan.
Las dos personas, que recibieron cartas de notificación de violación de datos de Postmeds y hablaron con nosotros para esta historia, criticaron a las empresas que emitieron sus recetas por falta de transparencia sobre quiénes son sus socios comerciales y cuáles de esos socios recibirían su información personal confidencial.
«Una vez que recibí mi primer paquete y vi ‘Truepill’ en la caja de Folx, me di cuenta, aunque tarde por mi parte, de que mis datos habían sido enviados a una organización con la que personalmente no había establecido una relación de confianza». dijo el ex usuario de Folx a TechCrunch.
Varios hilos en Reddit tienen comentarios de personas que recibieron notificaciones de violación de datos de Postmeds, pero no están seguras de qué empresa proporcionó a Postmeds su información.
“Acabo de recibir esta carta y no tengo idea de a través de qué médico se trataría”, dijo una persona. “También recibí esta carta. No tengo conocimiento de la empresa”, dijo otro.
La infracción es el último incidente que le ha ocurrido a la asediada Truepill.
Truepill sufrió varias rondas de despidos en 2022, incluidos grandes sectores de su equipo de producto y todos sus empleados del Reino Unido. En septiembre, el cofundador de Truepill, Sid Viswanathan, fue expulsado de la empresa.
A principios de este mes, Truepill llegó a un acuerdo con la Agencia Antidrogas de EE. UU. por acusaciones de que había dispensado ilegalmente miles de recetas de sustancias controladas, en las que Truepill «aceptó la responsabilidad de operar una farmacia en línea no registrada».
¿Trabaja en una organización de atención médica afectada por la infracción de Postmeds/Truepill? Puede comunicarse con Zack Whittaker en Signal y WhatsApp al +1 646-755-8849 o por correo electrónico; También puede comunicarse con Carly Page de forma segura en Signal al +441536 853968 o por correo electrónico. También puede ponerse en contacto con TechCrunch a través de SecureDrop.