Фотографии тысяч пациентов после пластических операций в Европе до и после недавно остались уязвимыми, но с тех пор были исправлены, пишут исследователи из vpnMentor в блоге. после.
Исследователи под руководством Ноама Ротема и Рана Локара 24 января обнаружили, что NextMotion не защищает и не шифрует изображения тел и личные данные людей, чьи врачи и клиники сотрудничают с 2015 года.
Next Motion, которая обслуживает 170 клиник по всему миру.
в 35 странах, подтвердил в разделе безопасности данных своего веб-сайта, что он
узнал от охранной фирмы 27 января, что
в результате испытаний на случайно выбранных компаниях ему удалось получить доступ к своим
информационную систему и проинформировал компанию о потенциальном риске взлома.
«Им удалось извлечь видео и фотографии из файлов некоторых наших пациентов», — написал генеральный директор NextMotion Эммануэль Элард, который извинился за «к счастью незначительный инцидент», побудив компанию немедленно принять «корректирующие меры».
Элард настаивал на
Пострадавшие «данные были обезличены – идентификаторы, даты рождения, заметки и т. д. –
и поэтому не был разоблачен».
Частное личное
Просматриваемые пользовательские данные vpnMotion включали: счета за лечение; наброски для
предлагаемые методы лечения; видеофайлы, включая сканирование тела и лица на 360 градусов; и
фотографии лица пациента, «очень наглядные» фотографии тела, груди и гениталий, которые
показаны, хотя и скрыты, в сообщении блога.
«Этот инцидент только усилил нашу постоянную заботу о защите ваших данных.
и данные ваших пациентов, когда вы используете приложение Nextmotion», — сказал Элард,
добавив, что все данные хранятся во Франции в защищенном HDS.
(хостинг персональных данных), совместимое с медицинским облаком.
"
Исследовательская группа vpnMentor обнаружила нарушение в базе данных NextMotion в рамках
огромного проекта веб-картографии», — говорится в сообщении в блоге. Его
исследователи используют сканирование портов для проверки определенных IP-блоков и проверки открытия
дыры в системах на наличие слабых мест и исследовать каждую дыру на предмет наличия данных.
утечка.
NextMotion заявила, что ее практика управления приложениями и данными была
проверено в 2018 году специализированным законом GDPR (Общие правила защиты данных)
фирму, чтобы обеспечить ее соответствие положению о данных, которое вступило в силу
вступит в силу в 2019 году.
vpnMentor отметил NextMotion
использовал базу данных Amazon Web Services (AWS) S3 для хранения изображений пациентов
файлы и другие данные, «но оставил их совершенно незащищенными», получив доступ к
почти 900,000 XNUMX отдельных файлов, в том числе
высокочувствительные изображения, видеофайлы и документы, относящиеся к пластической хирургии, дерматологии
процедуры и консультации, проводимые клиниками с использованием
Собственная технология NextMotion.
«Открыто, публично
видимые сегменты S3 не являются недостатком AWS», — отметил vpnMentor. «Обычно они являются результатом ошибки
владельцем ведра», — заявили в охранной фирме, добавив, что Amazon
предоставляет пользователям AWS подробные инструкции, которые помогут им защитить корзины S3 и
держите их в тайне.
В случае с NextMotion компания vpnMentor посоветовала
Самый быстрый способ исправить эту ошибку:
- Измените настройки сегмента S3, чтобы обеспечить большую безопасность.
- Сделайте корзину частной и добавьте протоколы аутентификации.
- Следуйте рекомендациям по доступу и аутентификации AWS.
- Добавьте дополнительные уровни защиты в свою корзину S3, чтобы дополнительно ограничить доступ к ней из каждой точки входа.