La fuga de Doxy.me expone los datos del proveedor a terceros

Un informe de CyberScoop publicado el viernes encontró que el proveedor de telesalud Doxy.me había permitido a terceros acceder a datos sobre proveedores a través de su sala de espera virtual.

Según la reportera Tonya Riley, la compañía parecía estar compartiendo las URL de las salas de espera públicas con Google, Facebook y el proveedor de marketing HubSpot.

Un problema, como explicó Riley, es que los proveedores eligen los nombres de sus salas de espera y, a menudo, incluyen su nombre o el nombre de su práctica.

En otras palabras, esa información también se estaba compartiendo potencialmente a través de la URL con terceros.

No se expusieron datos sobre la salud del paciente.

«Se notificó a Doxy.me que ciertas URL de terceros utilizadas en su sitio web principal también estaban habilitadas cuando un usuario ingresa a una sala de espera virtual. Los datos enviados a esos terceros Las partes eran detalles básicos del navegador (versión, sistema operativo, etc.) y, en algunos casos, la URL de la sala de espera virtual pública (que es elegida por cada proveedor durante el proceso de registro de la cuenta Doxy.me) «, explicó Doxy.me representantes en una declaración a Healthcare IT News .

«Una vez que comenzó una sesión de audio / video cifrada, no había URL de terceros incrustadas», agregaron.

Aunque Riley informó que los datos incluían direcciones IP y números de identificación de dispositivos únicos, Doxy.me dijo que solo se recopilaron detalles básicos del navegador, como el tamaño de la pantalla y el tipo de dispositivo «. para que la comunicación de audio y video funcione de manera óptima «.

POR QUÉ ES IMPORTANTE

A medida que la telesalud ha ido ganando popularidad, los expertos reiteraron la necesidad de salvaguardar la privacidad y la seguridad.

En este caso, los detalles del navegador del usuario se estaban recopilando para una campaña de marketing reciente que ya terminó, dijeron representantes de Doxy.me. Después del informe CyberScoop , Doxy.me dice que eliminó todas las URL de terceros de la sala de espera virtual.

La empresa está en proceso de eliminar todos los datos recopilados de esos terceros.

«Como no hay necesidad de continuar enviando información del navegador, hemos eliminado la capacidad de estos sitios web de terceros para rastrear el desempeño de nuestras campañas de marketing», Doxy. me dijeron los representantes.

La empresa reiteró que no recopila ni almacena información sobre la salud de los pacientes.

LA TENDENCIA MÁS GRANDE

Doxy.me ha promovido su simplicidad como clave para su seguridad , con el fundador Brandon Welch diciendo Healthcare IT News en junio de 2020 que puede confiar en el cifrado del navegador en lugar de depender de que los pacientes descarguen una aplicación separada.

Pero su lanzamiento enfrentó algunos obstáculos al principio de la pandemia COVID-19, con autenticación multifactor, una característica de defensa importante , no un requisito inicial para proveedores.

EN EL REGISTRO

«Doxy.me lamenta tener esas URL de terceros en la página de entrada de la sala de espera virtual», dijeron representantes de la empresa.

Kat Jercich es editora senior de Healthcare IT News.

Twitter: @ kjercich
Correo electrónico: kjercich@himss.org
Healthcare IT News es una publicación de HIMSS Media.

Lee mas

Deja un comentario

Tu dirección de correo electrónico no será publicada.