Blue Shield of California a révélé avoir subi une violation de données après avoir exposé les informations de santé protégées de 4,7 millions de membres aux plateformes d’analyse et de publicité de Google.
Le plan de santé à but non lucratif, qui dessert près de 6 millions de membres en Californie, a publié une notification de violation de données sur son site Web indiquant que les données des membres avaient été exposées entre avril 2021 et janvier 2024.
Aujourd’hui, le portail des violations du Département de la Santé et des Services sociaux des États-Unis a été mis à jour pour indiquer que la fuite a exposé les données de santé protégées de 4,7 millions de membres.
Selon l’avis, l’exposition a été causée par une mauvaise configuration de Google Analytics sur certains sites Blue Shield. Cela a entraîné le partage potentiel des données sensibles avec les plateformes publicitaires et les annonceurs de Google.
« Le 11 février 2025, Blue Shield a découvert qu’entre avril 2021 et janvier 2024, Google Analytics était configuré de manière à permettre le partage de certaines données des membres avec le produit publicitaire de Google, Google Ads, qui incluait probablement des informations de santé protégées », lit l’avis.
« Google a peut – être utilisé ces données pour mener des campagnes publicitaires ciblées auprès de ces membres individuels. »
Les types de données exposés à la suite de la mauvaise configuration incluent:
- Nom du régime d’assurance
- Type et numéro de groupe
- Ville et code postal
- Sexe
- Taille de la famille
- Identifiants attribués par Blue Shield pour les comptes en ligne des membres
- date du service de réclamation médicale et fournisseur de services, nom du patient et responsabilité financière du patient
- Critères et résultats de recherche « Trouver un médecin » (emplacement, nom et type du régime, nom et type du fournisseur)
Blue Shield a noté que d’autres informations personnelles, telles que les numéros de sécurité sociale, les numéros de permis de conduire, les informations bancaires et de carte de crédit, n’ont pas été exposées à la suite de cet incident.
Néanmoins, il est recommandé aux membres de rester vigilants et de surveiller de près leurs relevés de compte et leurs rapports de solvabilité pour identifier les activités non autorisées/suspectes.
L’organisation n’a pas offert de services de protection contre le vol d’identité, et il n’est pas clair si des avis individuels seront envoyés aux membres touchés à l’avenir.
Il s’agit du deuxième incident informatique à grande échelle divulgué par Blue Shield of California en moins d’un an.
L’année dernière, près d’un million de membres de régimes de santé ont vu leurs données volées par des acteurs du ransomware Black Suit qui ont violé le fournisseur de solutions logicielles de l’organisation, Connexure (anciennement Young Consulting).