Las fotos del antes y el después de miles de pacientes de cirugía plástica en Europa quedaron recientemente vulnerables, pero desde su rectificación, los investigadores de vpnMentor escribieron en un blog. post.

Los investigadores, liderados por Noam Rotem y Ran Locar, descubrieron el 24 de enero que NextMotion no aseguraba ni encriptaba las imágenes corporales y la PII de las personas cuyos médicos y clínicas con los que trabajaba desde 2015.

Next Motion, que atiende a 170 clínicas en todo el mundo
en 35 países, confirmó en la sección de seguridad de datos de su sitio web que
el 27 de enero, una empresa de seguridad aprendió que
Como resultado de sus pruebas en empresas seleccionadas al azar, logró acceder a su
sistema de información e informó a la empresa de un posible riesgo de intrusión.

"Pudieron extraer videos y fotos de algunos de los archivos de nuestros pacientes", escribió el CEO de NextMotion, Emmanuel Elard, quien se disculpó por el "afortunado incidente menor", lo que lo llevó inmediatamente a tomar "medidas correctivas".

Elard insistió en que
"los datos afectados habían sido desidentificados - identificadores, fechas de nacimiento, notas, etc. -
y por lo tanto no fue expuesto ".

El personal privado
datos de usuario vpnMotion visto incluido: facturas para tratamientos; contornos para
tratamientos propuestos; archivos de video, incluyendo escaneos corporales y faciales de 360 ​​grados; y
fotos faciales del paciente, cuerpo "muy gráfico", mama y perfil genital, que
se muestran, aunque oscurecidos, en la publicación del blog.

"Este incidente solo reforzó nuestra preocupación constante por proteger sus datos
y los datos de sus pacientes cuando usa la aplicación Nextmotion ", dijo Elard,
agregando que todos los datos se almacenan en Francia en un HDS seguro
(alojamiento de datos personales) nube médica compatible.

"El
El equipo de investigación de vpnMentor descubrió la violación en la base de datos de NextMotion como parte
de un gran proyecto de mapeo web ”, afirmó la publicación del blog. Sus
los investigadores usan escaneo de puertos para examinar bloques de IP particulares y probar abrir
agujeros en los sistemas en busca de debilidades, e investigue cada agujero en busca de datos
filtrado.

NextMotion dijo que su aplicación y la práctica de gestión de datos eran
auditado en 2018 por una ley especializada de GDPR (Reglamento General de Protección de Datos)
firme, para asegurar su cumplimiento con la regulación de datos que vino
en vigencia en 2019.

vpnMentor señaló NextMotion
utilizó una base de datos de cubo S3 de Amazon Web Services (AWS) para almacenar la imagen del paciente
archivos y otros datos, "pero lo dejó completamente inseguro", obteniendo acceso a
casi 900,000 archivos individuales, incluidos
imágenes altamente sensibles, archivos de video y documentos relacionados con la cirugía plástica, dermatológica
tratamientos y consultas realizadas por clínicas utilizando
La tecnología patentada de NextMotion.

"Abierto, públicamente
los depósitos S3 visibles no son un defecto de AWS ”, señaló vpnMentor. “Suelen ser el resultado de un error
por el dueño del cubo ", declaró la firma de seguridad, y agregó que Amazon
proporciona instrucciones detalladas a los usuarios de AWS para ayudarlos a proteger los cubos S3 y
mantenlos privados.

En el caso de NextMotion, vpnMentor aconsejó
La forma más rápida de corregir este error sería:

• Vuelva a configurar la configuración del depósito S3 para que sea más seguro.
• Haga que el depósito sea privado y agregue protocolos de autenticación.
• Siga las mejores prácticas de acceso y autenticación de AWS.
• Agregue más capas de protección a su depósito S3 para restringir aún más quién puede acceder a él desde cada punto de entrada.