Plus que deux Des millions de personnes aux États-Unis seront informées que leurs informations personnelles et sensibles sur leur santé ont été volées plus tôt cette année lors d’une cyberattaque contre Postmeds, la société mère de la start-up de pharmacie en ligne Truepill.
Pour certaines des personnes concernées, c’est la première fois qu’elles entendent parler de Postmeds, sans parler du fait que l’entreprise a perdu leurs informations personnelles et médicales sensibles lors de la violation de données.
La nouvelle de la violation de données a également semblé prendre au dépourvu les startups du secteur de la santé qui comptaient auparavant sur Postmeds pour exécuter les prescriptions de leurs clients.
Postmeds, ou Truepill, est une startup de distribution de pharmacies en ligne qui exécute les ordonnances de grands services de télésanté et d’autres pharmacies, et envoie des médicaments par courrier à leurs clients. Postmeds, via Truepill, a exécuté les prescriptions des clients de Folx, Hims et GoodRx, ainsi que d’autres startups de télésanté en ligne populaires qui ont vu le jour ces dernières années.
Même si vous n’avez jamais entendu parler de Postmeds, la société a peut-être exécuté l’une de vos ordonnances et traité vos informations. Le site Web de Truepill indique que la société a délivré 20 millions d’ordonnances à trois millions de personnes depuis sa création en 2016.
Postmeds a récemment déclaré aux régulateurs fédéraux dans un avis légalement requis que 2,3 millions de personnes avaient vu leurs informations personnelles volées lors de cette violation. L’entreprise a commencé à envoyer des notifications écrites aux personnes concernées début novembre.
La violation de données « présente un risque énorme »
Dans son avis de violation de données, Postmeds a déclaré que les pirates informatiques avaient volé une mine de données sensibles, notamment les noms des patients et des informations démographiques – telles que les dates de naissance – le type de médicaments prescrits et le nom du prescripteur. Dans certains cas, ces informations peuvent déduire la raison de la prise du médicament, qui peut inclure des informations médicales très sensibles sur une personne, telles que des détails sur sa santé mentale, sexuelle et reproductive.
Certains de ceux qui ont reçu des lettres de notification de violation de données ont déclaré à TechCrunch qu’ils ne connaissaient pas Postmeds et pourquoi l’entreprise détenait leurs informations.
« Mon partenaire et moi avons également eu des périodes de chevauchement au cours desquelles nous étions tous les deux patients avec Folx, mais je n’ai jamais reçu de lettre », a déclaré à TechCrunch un ancien client de Folx, dont le partenaire a reçu une notification de violation de données.
Folx Health est une entreprise de télésanté qui s’adresse à la communauté LGBTQIA+, avec des cliniciens qui peuvent prescrire des médicaments prenant en charge les soins d’affirmation de genre. Folx a déclaré qu’elle utilisait auparavant Truepill pour exécuter les prescriptions des clients.
Lorsqu’elle a été contactée par TechCrunch pour commenter, la directrice de l’exploitation de Folx, Dana Clayton, a déclaré à TechCrunch : « Folx a mis fin à sa relation avec Truepill en novembre 2022. Nous sommes en contact avec Truepill au sujet de l’incident et travaillons pour évaluer rapidement tout impact potentiel sur nos membres. »
« Une fois que j’ai reçu mon premier colis et que j’ai vu « Truepill » sur la boîte de Folx, j’ai réalisé, certes tardivement de ma part, que mes données avaient été envoyées à une organisation avec laquelle je n’avais personnellement pas noué de relation de confiance. Ancien client de Folx
« Comme d’autres sociétés de soins de santé, nous envoyons des ordonnances à un large éventail de pharmacies en fonction du choix des membres, de la disponibilité des médicaments, du coût et d’autres facteurs. Folx prend la confidentialité de ses membres au sérieux et demande à ses partenaires de respecter les normes de sécurité les plus strictes », a déclaré Clayton. « La violation de données de Truepill a été pour nous un sujet de déception et d’inquiétude considérable, et Folx s’engage à tenir nos membres informés à mesure que nous en apprenons davantage. »
L’ancien client de Folx, qui travaille dans le domaine de la cybersécurité, a déclaré à TechCrunch que la violation de données « présente un risque énorme, en particulier pour une communauté qui risque de perdre bien plus si ces données sont compromises ».
Postmeds n’a pas commenté publiquement au-delà de son avis de violation de données. TechCrunch a demandé dans un e-mail au directeur général de Postmeds, Paul Greenall, de fournir une liste des entreprises avec lesquelles Postmeds s’est associé et dont les clients sont concernés. Greenall n’a pas répondu.
Une autre personne qui a reçu une lettre de notification de violation de données a déclaré que la start-up de santé métabolique Levels Health lui avait prescrit un glucomètre continu il y a environ un an, qui compte sur Truepill pour répondre aux prescriptions de ses clients en matière de glucomètres.
Contacté par TechCrunch, Levels n’a pas précisé si ses clients aux États-Unis sont concernés par la violation de Postmeds.
Kate Burton-Barlow, représentant Levels via une agence tierce, a déclaré dans un e-mail que Levels « avait auparavant établi une relation avec Truepill au Royaume-Uni en prévision d’un futur lancement au Royaume-Uni, mais ce lancement n’a pas eu lieu, donc Levels n’a pas eu lieu. J’ai des clients britanniques que cela aurait pu affecter.
TechCrunch a contacté plusieurs entreprises de soins de santé qui comptaient sur Truepill pour distribuer et envoyer des médicaments.
Lorsqu’il a été contacté par TechCrunch pour commenter, le porte-parole de Hims, Khobi Brooklyn, n’a pas contesté le fait que les données des clients étaient affectées par la violation impliquant Truepill. Le porte-parole n’a pas précisé combien de clients Hims sont concernés, mais a noté que tous les clients Hims n’avaient pas fait exécuter leurs ordonnances par Truepill.
« Le service client et la sécurité des données sont des priorités absolues chez Hims & Hers, nous avons investi massivement dans les deux et nous sommes fiers de notre bilan. Bien qu’il ne s’agisse pas d’une violation de nos systèmes ou de nos données, cela nous rappelle de continuer à rester vigilants quant aux mesures que nous prenons pour protéger nos clients », a déclaré Brooklyn dans un communiqué.
La startup de télésanté Cerebral, qui fournit des services de télésanté et des médicaments sur ordonnance pour les problèmes de santé mentale, a déclaré à TechCrunch qu’elle n’avait pas eu de relation commerciale ni partagé d’informations sur les patients avec Truepill depuis 2022. « À ce jour, nous n’avons vu aucune notification de violation et nous n’avons aucune raison de croire que le patient cérébral [protected health information] a été divulgué ou consulté de manière illicite », a déclaré la porte-parole de Cerebral, Brittney Henderson, dans un e-mail. (Cerebral a révélé séparément plus tôt cette année qu’elle avait partagé des millions de données de patients avec des annonceurs pendant plusieurs années.)
Plusieurs autres pharmacies qui ont travaillé avec Truepill n’ont fait aucun commentaire lorsqu’elles ont été contactées par TechCrunch avant la publication.
CostPlus, la pharmacie en ligne à moindre coût fondée par Mark Cuban, qui s’appuie sur Truepill pour expédier ses médicaments à ses clients, n’a pas répondu aux demandes de commentaires. Cubain a investi un montant non divulgué dans Truepill plus tôt en 2023.
Le géant des soins de santé et des bons de prescription GoodRx s’appuie sur Truepill comme partenaire de livraison du courrier. La porte-parole de GoodRx, Lauren Casparis, n’a pas répondu aux demandes de commentaires.
TechCrunch a appris que Nutrisense, une startup technologique qui fournit des glucomètres en continu sur ordonnance, utilise Truepill pour exécuter certaines commandes. Le directeur général de Nutrisense, Alex Skryl, n’a pas répondu à un e-mail demandant un commentaire.
La connexion HIPAA
Il n’est pas rare que des entreprises de technologie ou de soins de santé partagent les données de leurs patients avec d’autres entreprises, telles que des pharmacies tierces ou spécialisées, pour fournir leurs services.
Les prestataires de soins de santé américains, comme les cabinets de médecins et les pharmacies, et les compagnies d’assurance sont soumis aux règles de confidentialité et de sécurité en matière de santé énoncées dans le Health Insurance Portability and Accountability Act, ou HIPAA, qui régit en partie la manière dont les prestataires de soins de santé doivent gérer correctement la sécurité des données des patients et confidentialité. Ne pas respecter la loi HIPAA peut entraîner de lourdes amendes.
Mais de nombreuses startups de télésanté ne sont pas considérées comme des « entités couvertes » par la HIPAA, et la HIPAA ne s’applique souvent pas, car les startups elles-mêmes ne fournissent pas de soins, mais mettent plutôt en contact les patients avec des prestataires de soins de santé.
Comme le note Consumer Reports, la HIPAA « établit des règles de confidentialité que les prestataires de soins de santé et les compagnies d’assurance doivent suivre lorsqu’ils traitent des données médicales personnellement identifiables », mais la même information protégée dans un cabinet médical « peut être totalement non réglementée dans d’autres contextes. »
Hims et Cerebral notent dans leurs politiques de confidentialité que, même si les lois de l’État sur la confidentialité peuvent s’appliquer, la HIPAA « ne s’applique pas nécessairement à une entité ou à une personne simplement parce que des informations sur la santé sont impliquées ». Les entreprises qui déclarent qu’elles sont « conformes à la loi HIPAA » peuvent signifier que la loi HIPAA ne s’applique pas à elles.
Les États-Unis ne disposent pas d’une loi nationale sur la sécurité des données ou la confidentialité et s’appuient plutôt sur une mosaïque de lois étatiques qui varient d’un État à l’autre. La plupart des Américains vivent dans des États qui offrent peu ou pas de protection contre le partage d’informations personnelles.
Au lieu de cela, les entreprises expliquent généralement comment elles traitent les données des clients ou des patients dans leur politique de confidentialité, mais ne sont pas obligées de divulguer avec quelles entreprises spécifiques elles travaillent.
Les deux personnes, qui ont reçu des lettres de notification de violation de données de Postmeds et ont parlé avec nous à propos de cette histoire, ont toutes deux critiqué les entreprises qui ont émis leurs prescriptions pour leur manque de transparence sur l’identité de leurs partenaires commerciaux et sur lequel de ces partenaires recevrait leurs informations personnelles sensibles.
« Une fois que j’ai reçu mon premier paquet et que j’ai vu « Truepill » sur la boîte de Folx, j’ai réalisé, certes tardivement de ma part, que mes données avaient été envoyées à une organisation avec laquelle je n’avais personnellement pas noué de relation de confiance. a déclaré l’ancien utilisateur de Folx à TechCrunch.
Plusieurs fils de discussion sur Reddit contiennent des commentaires de personnes qui ont reçu des notifications de violation de données de Postmeds, mais qui ne savent pas quelle entreprise a fourni leurs informations à Postmeds.
« Je viens de recevoir cette lettre et je n’ai aucune idée de quel médecin cela passerait », a déclaré une personne. « J’ai également reçu cette lettre. Aucune connaissance de l’entreprise », a déclaré un autre.
Cette brèche est le dernier incident survenu à Truepill, en difficulté.
Truepill a subi plusieurs séries de licenciements en 2022, notamment une grande partie de son équipe produit et tous ses employés britanniques. En septembre, Sid Viswanathan, cofondateur de Truepill, a été expulsé de l’entreprise.
Plus tôt ce mois-ci, Truepill a réglé avec la Drug Enforcement Administration des États-Unis des allégations selon lesquelles elle aurait délivré illégalement des milliers d’ordonnances de substances contrôlées, dans lesquelles Truepill « a accepté la responsabilité d’exploiter une pharmacie en ligne non enregistrée ».
Travaillez-vous dans un établissement de santé touché par la violation Postmeds/Truepill ? Vous pouvez contacter Zack Whittaker sur Signal et WhatsApp au +1 646-755-8849 ou par e-mail ; vous pouvez également contacter Carly Page en toute sécurité sur Signal au +441536 853968 ou par e-mail. Vous pouvez également contacter TechCrunch via SecureDrop.