Åboforskning avslöjar: tiotals finska nätapotek läckte känsliga data till teknologijättar – men det finns en ljusning
Mer än vart tredje nätapotek i Finland läckte information som gör det möjligt för så kallade tredje parter att räkna ut vilken medicin som en viss person tittar på eller tänker köpa.
Det avslöjar en färsk artikel skriven av forskare vid Åbo universitet och Åbo Akademi.
Det var i april 2022 som forskarna analyserade webbtrafiken vid landets samtliga apotek som säljer receptbelagda mediciner på nätet.
”Uppseendeväckande”
Det visade sig att de flesta nätapotek skickade vidare information om kundens besök på sajten till tredje parter, oftast Google.
Frågan var sedan hur många av apoteken som släppte ifrån sig riktigt känsliga uppgifter.
Svaret var att 57 av landets 163 nätapotek gjorde det.
Åbo universitets Sampsa Rauti, som är huvudförfattare till artikeln, säger till ÅU att den höga siffran överraskade honom.
– Jo, absolut, med tanke på hur känslig information det handlar om. Det är nog uppseendeväckande ifall det är 35 procents risk att informationen om medicinerna du tittar på eller avser köpa läcker till tredje part om du väljer ett slumpmässigt nätapotek.
Jättar kan lägga ihop ett och ett
Forskningen fick positiva effekter, som vi ska återkomma till. Men först en kort beskrivning av hur undersökningen gjordes.
Forskarna använde dels verktyget Website Evidence Collector för att automatiskt granska apotekens sajter. Men en del sajter testade man också manuellt, genom att söka efter mediciner och gå in på sidor där man beställer medicinerna.
Man tittade sedan på vilken information som sajternas spårnings- och analysverktyg skickade vidare till tredje part. Den informationen kan till exempel innehålla användarens ip-adress, uppgifter om tidigare besökta sajter, användarens språk och hemland samt unika uppgifter om den apparat kunden är inloggad på.
Genom att koppla ihop personuppgifterna med medicinen som personen letat efter, köpt eller vars produktsida kunden besökt finns risken att en tredje part kan räkna ut vilken medicin personen använder.
– Om användaren är inloggad på exempelvis Facebook eller Youtube på samma apparat så kan teknologijättar som Meta och Google egentligen genast få reda på kundens namn. Det handlar alltså inte alltid bara om att ip-adressen läcker, även om den också är en personuppgift, förklarar Rauti.
Också till Ryssland
Sampsa Rauti påpekar att det här inte automatiskt betyder att de tredje parterna gör något med informationen, eller att de ens sparar den.
Men att så känslig information alls skickas till dem är illa nog, säger han.
– Det finns också en tidsaspekt. Om man över tid köper flera mediciner kan en tredjepartstjänst som Google i princip samla på sig din patienthistoria och veta vilka sjukdomar du har.
– Ibland skickas informationen dessutom utanför Europa. Vi hittade ett fall där ett nätapotek skickade informationen till den ryska tjänsten Yandex, vilket är ganska vilt.
Det är vardagsmat att webbsajter använder externa analysverktyg. Av de 163 apoteken var det endast 18 som inte alls hade tredje parts analytiktjänster på sin sajt.
Verktygen används bland annat för att kunna följa med hur väl marknadsföringskampanjer fungerar och för att optimera sajtens funktion.
Men problem uppstår till exempel när medicinernas namn finns med i adressen på sidan som kunden besöker, och den informationen sedan skickas till analystjänsterna som man kombinera ihop medicinen med kunden.
Oaktsamhet
Sampsa Rauti är övertygad om att det här inte sker på flit, utan det handlar om oaktsamhet. Ansvarsfördelningen kan vara diffus mellan apoteken, deras personal och ledning, de som upprätthåller apotekens sajter och de som levererar plattformar för nätbutiker.
De som levererar sajterna till apoteken är glada att kunna erbjuda analysverktygen utan att kanske inse alla problem som finns gällande känsliga data.
Samtidigt kan apoteken sakna expertisen för att själva inse nackdelarna.
– Det är förståeligt att kunskapen inte alltid finns. Små apotek har kanske inte alls egen it-personal, säger Rauti.
Samtidigt konstaterar han att uppgifter läckte både från stora och små apotek.
Många nätapotek använder samma plattformar. Men apoteken, eller de som upprätthåller deras sajter, kan välja vilka analysverktyg som aktiveras.
Därför kan ett apotek läcka känsliga uppgifter medan ett annat apotek inte gör det även om de använder samma plattform.
Ett av Sampsa Rautis förslag är att webbsajter som erbjuder hälso- och apotekstjänster skulle genomgå en extern utvärdering innan de lanseras.
– Jag är förvånad att det saknas sådan auditering trots att det handlar om en så kritisk service. Det skulle vara bra om en utomstående datasäkerhetsexpert kunde testa tjänsten. Men jag inser att många apotek är små, så granskningen borde erbjudas till ett överkomligt pris.
Forskningen fick positiv effekt
Men det finns alltså en fin knorr på forskningen. Efter det första testet våren 2022 rapporterade forskarna det oroväckande resultatet till myndigheterna.
I mars 2023 testade forskarna på nytt 48 av nätapoteken. Det visade sig att totalantalet läckor från dessa apotek hade sjunkit från 33 till endast 4. Åtgärder hade alltså vidtagits efter larmet.
Sampsa Rauti säger att det är mycket positivt. Men han betonar att arbetet inte får ta slut.
– Apoteken måste ständigt vara alerta då deras sajter uppdateras så att man inte på nytt aktiverar analysverktyg som riskerar att läcka känslig information.
Han säger att kunderna måste kunna lita på sajterna.
– Den genomsnittliga användaren kommer inte att göra den granskning vi forskare gjort, även om vi använt verktyg som finns i en vanlig webbläsare.
Artikeln argumenterar också för att vi juridiskt måste ha en bred syn på vad som utgör hälsodata och känslig information i samband med nätapoteken.
Samarbete
Artikeln ”Analyzing third-party data leaks on online pharmacy websites” har publicerats i tidskriften Health and Technology. Skribenterna är Sampsa Rauti, Robin Carlsson, Tuomas Mäkilä, Timi Heino och Ville Leppänen vid TY:s institution för datavetenskap, Sini Mickelsson vid TY:s juridiska fakultet samt Elina Pirjatanniemi vid ÅA:s institut för mänskliga rättigheter.
Forskningen har gjorts inom projektet IDA, som översatt till svenska står för ”intimitet i datadriven kultur”.
Siffrorna på slutet, där antalet läckor minskat från 33 till 4, avser inte antalet apotek eftersom ett apotek i den statistiken kan ha flera läckor.
Kommentarer
Alla som kommenterar ÅU:s webbartiklar förväntas göra det sakligt och under sitt eget namn. Vi godkänner inga länkar till externa webbplatser i kommentarerna. Kommentarerna modereras. Fyll i både ditt för- och efternamn, tack.