در سپتامبر 2022، در مورد اینکه چگونه روزنامه نگاران با The Markup دریافتند که بسیاری از وب سایت های بیمارستانی اطلاعات پزشکی بیماران را از طریق ابزار ردیابی به نام Meta Pixel به اشتراک می گذارند، نوشتم. سپس در ماه دسامبر، وزارت بهداشت و خدمات انسانی ایالات متحده اعلام کرد که نهادهای تحت پوشش HIPAA نمی توانند از ردیاب های پیکسلی استفاده کنند، اگر اطلاعات بهداشتی محافظت شده را بدون رضایت بیمار منتقل کنند یا توافق نامه امضا شده ای با فروشندگان ردیابی فناوری نداشته باشند. Becker’s Health IT گزارش داد.
در یک داستان بعدی که در ماه دسامبر منتشر شد، تیم تحقیقاتی Markup/STAT دریافتند که وبسایتهایی که توسط دهها شرکت راهاندازی بهداشت از راه دور اداره میشوند، حاوی ابزارهای ردیابی هستند که اطلاعات بالقوه حساس سلامتی کاربران را با سازمانهای فناوری بزرگ به اشتراک میگذارند.
از 50 شرکت بهداشت از راه دور مستقیم به مصرف کننده که آنها ارزیابی کردند، 13 شرکت حداقل یک ردیاب داشتند که پاسخ های بیماران را به سؤالات مصرف پزشکی جمع آوری می کرد، و 25 شرکت حداقل به یک پلت فرم بزرگ فناوری گفتند که یک کاربر موردی مانند یک داروی تجویزی را به آنها اضافه کرده است. سبد خرید، یا با یک اشتراک برای یک طرح درمانی پرداخت شده است. و 49 شرکت از 50 شرکت، URL هایی را که کاربران در سایت بازدید کرده بودند، حداقل به یک شرکت فناوری ارسال کردند. ردیابهای یافت شده در اینجا فقط متا پیکسل فیسبوک نبودند، بلکه ردیابهای دیگری از گوگل، بینگ، تیک تاک، اسنپ چت، پینترست، لینکدین و توییتر بودند.
به عنوان بخشی از تحقیقات خود، اعضای تیم حساب های جعلی ایجاد کردند و فرم های دریافت را تکمیل کردند. برای اینکه ببینند چه دادههایی به اشتراک گذاشته میشوند، آنها ترافیک شبکه بین ردیابها را با استفاده از Chrome DevTools، ابزاری که در مرورگر کروم گوگل تعبیه شده است، بررسی کردند. در آنجا متوجه شدند که ردیابها در یک سایت، برای مثال، پاسخهایی در مورد آسیبرسانی به خود، مصرف مواد مخدر و الکل و اطلاعات شخصی مانند نام کاربر، آدرس ایمیل و شماره تلفن به فیسبوک ارسال میکنند. هنوز مشخص نیست که شرکت های دریافت کننده چنین اطلاعاتی با آن چه می کنند.
کیتی پالمر از STAT به همراه تاد فیرز و سایمون فوندری تیتلر از The Markup در کتاب جدید «How I Did It» توضیح میدهند که چگونه داستان را به دست آوردهاند و چه چیزی بیشتر از همه آنها را شگفت زده کرده است.
برای اختصار و وضوح، پاسخ ها کمی ویرایش شده اند.
چگونه به این ایده رسیدید که به شرکتهای بهداشت از راه دور نگاه کنید؟
پالمر: من حدود شش ماه است که شرکتهای مراقبتهای بهداشتی مستقیم به مصرفکننده را در STAT ردیابی کردهام و متوجه گسترش آزمونها و نظرسنجیها برای جمعآوری اطلاعات پزشکی شدهام. Markup کار بزرگی انجام داده بود و اطلاعات ارسال شده از طریق ردیاب ها در سایت های بیمارستان را نشان می داد، و من فکر کردم که آیا در اینجا هم همینطور است. من از ابزار Blacklight آنها برای انجام تجزیه و تحلیل اولیه برخی از این وبسایتهای بهداشت از راه دور استفاده کردم و دیدم که تعداد ردیابهایی که در چندین مورد از آنها ظاهر میشوند بسیار بالاتر از میانگین هستند. آن وقت بود که دست دراز کردیم [to The Markup] و یک همکاری رسمیتر ایجاد کنید تا ببینید واقعاً چه اطلاعاتی ممکن است توسط آن ردیابها جمعآوری شود.
چگونه انتخاب کردید که کدام شرکتهای سلامت از راه دور را هدف قرار دهید؟
پالمر: ما میخواستیم روی سایتهای مستقیم به مصرفکننده تمرکز کنیم، نه سایتهای بهداشت از راه دور که توسط ارائهدهنده فعلیتان به آنها هدایت میشوید. به طور کلی، آنها کسانی هستند که بر مراقبتهای فرعی مانند میگرن یا سلامت باروری تمرکز میکنند که بیشتر بر روی نسخهها متمرکز است. ما نمیخواستیم از شرکتهای بهداشت از راه دور استفاده کنیم که مراقبتهای اولیه، مراقبتهای فوری یا مراقبتهای جامعتر را ارائه میکنند، با این ایده که هدف شما بهعنوان یک بیمار خاصتر و نگرانیهای شما که برای آن به این شرکتها میروید، میتوانند به طور بالقوه افزایش خطر برای بیمار از نظر قرار گرفتن در معرض اطلاعات سلامتی آنها.
این تحقیق بیش از ردیاب متا پیکسلی را که قبلاً در مورد آن گزارش کردهاید، از جمله ردیابهایی از Google، TikTok و دیگر برنامههای رسانههای اجتماعی پیدا کرد. این تعجب آور بود؟
پر: من حدس میزنم که نباید آنقدر تعجبآور میبود، اما انتظار ردیابهای Pinterest یا LinkedIn را نداشتم، مثلاً در این سایتها، یا حتی تیکتاک. ما شروع نکردیم که به دنبال آنها برویم. ما فقط مشغول بازی در این سایت ها بودیم و دیدیم که تعدادی از آنها اطلاعاتی را به این پلتفرم های مختلف ارسال می کنند.
Foundrie-Teitler: وقتی مقاله بیمارستان را انجام میدادیم، متوجه حضور برخی از این موارد، بهویژه گوگل آنالیتیکس شدیم، اما خارج از محدوده آن داستان بود. وقتی برگشتیم به همه اینها خیلی علاقه مند بودیم. برخی از مواردی که آنجا بودند من به آنها فکر نکرده بودم، یا فکر نمی کردم که در فضای تبلیغاتی، به ویژه لینکدین، بزرگ باشند. پینترست که میدانم بزرگ است، اما در دنیایی که من در آن هستم نیست، بنابراین برای من تا حدودی تعجبآور بود. فکر کنم اضافه شدند [to the sites] به همان روشی که همه این ردیابهای دیگر اضافه شدهاند، که برای ردیابهای متمرکز بر تبلیغات، میخواهند در این پلتفرمها تبلیغ کنند، و این مرحلهای است که پلتفرمها شما را مجبور به انجام آن میکنند تا تبدیلها را ردیابی کنید و ببینید چگونه تبلیغات انجام میشود. . یا آنها تجزیه و تحلیل می خواهند و ردیاب هایی را در آن قرار داده اند.
پالمر: چیزی که برای من تعجب آور بود وجود ردیاب ها نبود، بلکه سطح جزئیات ارسال شده توسط برخی از آنها بود. همان سطح از اطلاعات دقیق توسط متا پیکسل ارسال می شد که برخی از این ردیاب های دیگر.
Foundrie-Teitler: اطلاعات خاصی برای ارسال وجود دارد، بسیار بیشتر از آنچه در مورد بیمارستان ها دیدیم. در مورد بیمارستانها، اطلاعات پیشفرضی وجود دارد که متا پیکسل به فیسبوک ارسال میکند و اگر چیزی در مورد آن تغییر ندهید، مجموعهای از موارد ارسال میشود. در این مورد، به نظر می رسید که شخصی یا نرم افزاری پیکسل های مختلف را بر اساس مشخصات و اطلاعات بالاتر از پیش فرض پیکربندی کرده است.
زمانی که این داستان را گزارش می کردید بیشتر از چه چیزی نگران شدید؟
پر: برای من این عدم درک از سوی همه این شرکتهای بهداشتی از راه دور در مورد آنچه که در وبسایتهایشان انجام میدهند، نه تنها این واقعیت بود که آنها این ردیابها را نصب کردند و ردیابها اطلاعات پزشکی را جمعآوری میکردند، بلکه زمانی که به این موارد رسیدیم. شرکتها، یافتههای بسیار دقیقی از جمله تصاویر و توضیحات را به آنها ارائه کردیم. مجبور شدیم چند بار به عقب برگردیم و به آنها توضیح دهیم که نه، اطلاعاتی که شما ارسال می کنید ناشناس نیست و مانع از اتصال شرکت ها به پروفایل های کاربر نمی شود.
پالمر: من انتظار نداشتم که در برخی موارد پاسخ های واقعاً دقیق را به طور کامل ببینم، و علاوه بر آن، بیماران لزوماً متوجه نمی شوند که اطلاعات آنها از این طریق به اشتراک گذاشته می شود. خطمشیهای حفظ حریم خصوصی برای هر شرکت معمولاً میگویند که اشتراکگذاری در حال انجام است، اما منابع ما ابراز تردید کردند که هر مصرفکننده یا بیمار معمولی میداند که اگر بگوید مطابق با HIPAA است، به این معنی نیست که اطلاعات پزشکی که به اشتراک میگذارند نیست. یکنواخت محافظت می شود
Foundrie-Teitler: چیز دیگری که من را شگفت زده کرد این است که این شرکت ها چگونه ساختار یافته اند. سایتی که به آن می روید یک موجودیت است و ارائه دهندگان فرعی فقط برای مدیریت وب سایت راه اندازی شده اند. به دلیل قوانین مختلف ایالتی، بازاریابی و ارائه مراقبت به چندین نهاد تقسیم می شود و این پیامدهای HIPAA دارد.
چه احتیاط هایی را به افرادی که از این سایت ها استفاده می کنند ارائه می دهید؟
پالمر: این واقعاً یک محاسبه سود-ریسک است که همه باید خودشان آن را اجرا کنند. مردم نیاز به دسترسی سریع، آسان و مقرون به صرفه تر به مراقبت دارند، و این سایت ها در بسیاری از موارد این را ارائه می دهند. … ما به رویکردهای بهتر از بالا به پایین، نظارتی یا غیرقانونی، برای محافظت از اطلاعات آنلاین به روشی شفاف و قابل فهم تر نیاز داریم تا مردم بتوانند آن تصمیم آگاهانه را اتخاذ کنند.
Foundrie-Teitler: برخی از مرورگرها در پایین آوردن سطح ردیابی بهتر عمل می کنند. فایرفاکس و سافاری به طور پیش فرض انواع خاصی از ردیابی را مسدود یا متوقف می کنند. افزونه هایی نیز وجود دارد که به مرورگر خود اضافه می کنید. uBlock Origin یک مسدودکننده تبلیغات است که به طور پیشفرض دارای برخی قابلیتهای مسدودکننده نیز میباشد. Privacy Badger افزونه ای است که به طور خاص انواع خاصی از ردیابی را مسدود می کند. مرورگرهایی مانند Brave و DuckDuckGo بیشتر روی حریم خصوصی متمرکز هستند.