Healthcare startups scramble to assess fallout after Postmeds data breach hits millions of patients

Plus que deux Des millions de personnes aux États-Unis seront informées que leurs informations personnelles et sensibles sur leur santé ont été volées plus tôt cette année lors d’une cyberattaque contre Postmeds, la société mère de la start-up de pharmacie en ligne Truepill.

Pour certaines des personnes concernées, c’est la première fois qu’elles entendent parler de Postmeds, sans parler de cela. l’entreprise a perdu ses informations personnelles et de santé sensibles lors de la violation de données.

La nouvelle de la violation de données a également semblé prendre au dépourvu les startups du secteur de la santé qui comptaient auparavant sur Postmeds pour exécuter les prescriptions de leurs clients.

Postmeds, ou Truepill, est une startup de distribution de produits pharmaceutiques en ligne qui remplit les ordonnances de services de télésanté de renom et d’autres pharmacies, et envoie des médicaments par courrier à leurs clients. Postmeds, via Truepill, a exécuté les ordonnances des clients de Fox, Luiet BonRxet autres startups de télésanté en ligne populaires qui ont émergé ces dernières années.

Même si vous n’avez jamais entendu parler de Postmeds, la société a peut-être exécuté l’une de vos ordonnances et traité vos informations. Le site Web de Truepill indique que la société a délivré 20 millions d’ordonnances à trois millions de personnes depuis sa création en 2016.

Postmeds a récemment déclaré aux régulateurs fédéraux dans un avis légalement requis que 2,3 millions de personnes avaient vu leurs informations personnelles volées lors de cette violation. L’entreprise a commencé à envoyer des notifications écrites aux personnes concernées début novembre.

La violation de données « présente un risque énorme »

Dans son avis de violation de données, Postmeds a déclaré que les pirates ont volé une mine de données sensibles, notamment les noms des patients et des informations démographiques – telles que les dates de naissance – le type de médicaments prescrits et le nom du prescripteur. Dans certains cas, ces informations peuvent déduire la raison de la prise du médicament, qui peut inclure des informations médicales très sensibles sur une personne, telles que des détails sur sa santé mentale, sexuelle et reproductive.

Certains de ceux qui ont reçu des lettres de notification de violation de données ont déclaré à TechCrunch qu’ils ne connaissaient pas Postmeds et pourquoi l’entreprise détenait leurs informations.

“Mon partenaire et moi avons également eu des périodes de chevauchement au cours desquelles nous étions tous les deux patients avec Folx, mais je n’ai jamais reçu de lettre”, a déclaré à TechCrunch un ancien client de Folx, dont le partenaire a reçu une notification de violation de données.

Folx Santé est une entreprise de télésanté qui s’adresse à la communauté LGBTQIA+, avec des cliniciens qui peuvent prescrire des médicaments qui soutiennent les soins d’affirmation de genre. Folx a déclaré qu’elle utilisait auparavant Truepill pour exécuter les prescriptions des clients.

Lorsqu’elle a été contactée par TechCrunch pour commenter, la directrice de l’exploitation de Folx, Dana Clayton, a déclaré à TechCrunch : « Folx a mis fin à sa relation avec Truepill en novembre 2022. Nous sommes en contact avec Truepill au sujet de l’incident et travaillons pour évaluer rapidement tout impact potentiel sur nos membres. »

« Comme d’autres sociétés de soins de santé, nous envoyons des ordonnances à un large éventail de pharmacies en fonction du choix des membres, de la disponibilité des médicaments, du coût et d’autres facteurs. Folx prend la confidentialité de ses membres au sérieux et demande à ses partenaires de respecter les normes de sécurité les plus strictes », a déclaré Clayton. “La violation de données de Truepill a été pour nous un sujet de déception et d’inquiétude considérable, et Folx s’engage à tenir nos membres informés à mesure que nous en apprenons davantage.”

L’ancien client de Folx, qui travaille dans le domaine de la cybersécurité, a déclaré à TechCrunch que la violation de données « présente un risque énorme, en particulier pour une communauté qui risque de perdre bien plus si ces données sont compromises ».

Postmeds n’a pas commenté publiquement au-delà de son avis de violation de données. TechCrunch a demandé dans un e-mail au directeur général de Postmeds, Paul Greenall, de fournir une liste des entreprises avec lesquelles Postmeds s’est associé et dont les clients sont concernés. Greenall n’a pas répondu.

Une autre personne qui a reçu une lettre de notification de violation de données a déclaré qu’on lui avait prescrit un glucomètre en continu il y a environ un an. startup de santé métabolique Levels Healthqui s’appuie sur Truepill pour répondre aux prescriptions de ses clients en matière de glucomètres.

Contacté par TechCrunch, Levels n’a pas précisé si ses clients aux États-Unis sont concernés par la violation de Postmeds.

Kate Burton-Barlow, représentant Levels via une agence tierce, a déclaré dans un e-mail que Levels « avait auparavant établi une relation avec Truepill au Royaume-Uni en prévision d’un futur lancement au Royaume-Uni, mais ce lancement n’a pas eu lieu, donc Levels n’a pas eu lieu. J’ai des clients britanniques que cela aurait pu affecter.

TechCrunch a contacté plusieurs entreprises de soins de santé qui comptaient sur Truepill pour distribuer et envoyer des médicaments.

Lorsqu’il a été contacté par TechCrunch pour commenter, le porte-parole de Hims, Khobi Brooklyn, n’a pas contesté le fait que les données des clients étaient affectées par la violation impliquant Truepill. Le porte-parole n’a pas précisé combien de clients Hims sont concernés, mais a noté que tous les clients Hims n’avaient pas fait exécuter leurs ordonnances par Truepill.

« Le service client et la sécurité des données sont des priorités absolues chez Hims & Hers, nous avons investi massivement dans les deux et nous sommes fiers de notre bilan. Bien qu’il ne s’agisse pas d’une violation de nos systèmes ou de nos données, cela nous rappelle de continuer à rester vigilants quant aux mesures que nous prenons pour protéger nos clients”, a déclaré Brooklyn dans un communiqué.

Startup de télésanté Cerebral, qui fournit services de télésanté et médicaments sur ordonnance pour des problèmes de santé mentale, a déclaré à TechCrunch qu’il n’avait pas eu de relation commerciale ni partagé d’informations sur les patients avec Truepill depuis 2022. « À ce jour, nous n’avons vu aucune notification de violation et nous n’avons aucune raison de croire que les données d’un patient cérébral [protected health information] a été divulgué ou consulté de manière illicite », a déclaré la porte-parole de Cerebral, Brittney Henderson, dans un e-mail. (Cerebral a révélé séparément plus tôt cette année qu’elle avait partagé des millions de données de patients avec des annonceurs pour plusieurs années.)

Plusieurs autres pharmacies qui ont travaillé avec Truepill n’ont fait aucun commentaire lorsqu’elles ont été contactées par TechCrunch avant la publication.

CostPlus, le pharmacie en ligne à moindre coût fondée par Mark Cuban, qui compte sur Truepill pour expédier les médicaments à ses clients, n’a pas répondu aux demandes de commentaires. cubain a investi un montant non divulgué dans Truepill plus tôt en 2023.

Géant des coupons de soins de santé et de prescription GoodRx fait confiance à Truepill comme partenaire de livraison du courrier. La porte-parole de GoodRx, Lauren Casparis, n’a pas répondu aux demandes de commentaires.

TechCrunch a appris que Nutrisense, une startup technologique qui fournit des glucomètres en continu sur ordonnance, utilise Truepill pour exécuter certaines commandes. Le directeur général de Nutrisense, Alex Skryl, n’a pas répondu à un e-mail demandant un commentaire.

La connexion HIPAA

Il n’est pas rare que des entreprises de technologie ou de soins de santé partagent les données de leurs patients avec d’autres entreprises, telles que des pharmacies tierces ou spécialisées, pour fournir leurs services.

Les prestataires de soins de santé américains, comme les cabinets de médecins et les pharmacies, ainsi que les compagnies d’assurance sont soumis aux règles de confidentialité et de sécurité sanitaires énoncé dans la Health Insurance Portability and Accountability Act, ou HIPAA, qui régit en partie la manière dont les prestataires de soins de santé doivent gérer correctement la sécurité et la confidentialité des données des patients. Ne pas respecter la loi HIPAA peut entraîner de lourdes amendes.

Mais de nombreuses startups de télésanté ne sont pas considérées comme des « entités couvertes » par la HIPAA, et la HIPAA ne s’applique souvent pas, car les startups elles-mêmes ne fournissent pas de soins, mais mettent plutôt en contact les patients avec des prestataires de soins de santé.

Comme le note Consumer Reportsla HIPAA « établit des règles de confidentialité que les prestataires de soins de santé et les compagnies d’assurance doivent suivre lorsqu’ils traitent des données médicales personnellement identifiables », mais la même information protégée dans un cabinet médical « peut être totalement non réglementée dans d’autres contextes ».

Hims et Cerebral notent dans leurs politiques de confidentialité que, même si les lois de l’État sur la confidentialité peuvent s’appliquer, la HIPAA « ne s’applique pas nécessairement à une entité ou à une personne simplement parce que des informations sur la santé sont impliquées ». Les entreprises qui déclarent qu’elles sont « conformes à la loi HIPAA » peuvent signifier que la loi HIPAA ne s’applique pas à elles.

Le Les États-Unis n’ont pas de loi nationale sur la sécurité des données ou la confidentialité, et s’appuie plutôt sur une mosaïque de lois étatiques qui varient d’un État à l’autre. La plupart des Américains vivent dans des États qui offrent peu ou pas de protection contre le partage d’informations personnelles.

Au lieu de cela, les entreprises expliquent généralement comment elles traitent les données des clients ou des patients. dans leur politique de confidentialitémais ne sont pas obligés de divulguer les entreprises spécifiques avec lesquelles ils travaillent.

Les deux personnes, qui ont reçu des lettres de notification de violation de données de Postmeds et ont parlé avec nous à propos de cette histoire, ont toutes deux critiqué les entreprises qui ont émis leurs prescriptions pour leur manque de transparence sur l’identité de leurs partenaires commerciaux et sur lequel de ces partenaires recevrait leurs informations personnelles sensibles.

« Une fois que j’ai reçu mon premier paquet et que j’ai vu « Truepill » sur la boîte de Folx, j’ai réalisé, certes tardivement de ma part, que mes données avaient été envoyées à une organisation avec laquelle je n’avais personnellement pas noué de relation de confiance. a déclaré l’ancien utilisateur de Folx à TechCrunch.

Plusieurs fils de discussion sur Reddit contiennent des commentaires de personnes qui ont reçu des notifications de violation de données de Postmeds, mais qui ne savent pas quelle entreprise a fourni leurs informations à Postmeds.

“Je viens de recevoir cette lettre et je n’ai aucune idée de quel médecin cela passerait”, a déclaré une personne. « J’ai également reçu cette lettre. Aucune connaissance de l’entreprise », a déclaré un autre.

Cette brèche est le dernier incident survenu à Truepill, en difficulté.

Truepill a subi plusieurs séries de licenciements en 2022, dont une grande partie de son équipe produit et de tous ses employés britanniques. En septembre, Sid Viswanathan, co-fondateur de Truepill, a été expulsé de l’entreprise.

Plus tôt ce mois-ci, Truepill a conclu un accord avec la US Drug Enforcement Administration, affirmant qu’elle délivré illégalement des milliers d’ordonnances de substances contrôléesdans lequel Truepill « a accepté la responsabilité d’exploiter une pharmacie en ligne non enregistrée ».