和风网标志

法国整容手术图像库易受伤害,但已得到纠正:报告

日期:

vpnMentor 的研究人员在博客中写道,欧洲数千名整形手术患者的前后照片最近很容易受到攻击,但后来已得到纠正 发表.

由 Noam Rotem 和 Ran Locar 领导的研究人员于 24 月 2015 日发现,NextMotion 并未对自 XNUMX 年以来与其合作的医生和诊所的人员的身体图像和 PII 进行保护或加密。

Next Motion,为全球 170 家诊所提供服务
在 35 个国家/地区,在其网站的数据安全部分确认
27月XNUMX日从某安全公司获悉
通过对随机选择的公司进行测试,它成功地访问了其
信息系统并向公司通报潜在的入侵风险。

NextMotion 首席执行官伊曼纽尔·埃拉德 (Emmanuel Elard) 写道:“他们能够从我们的一些患者档案中提取视频和照片。”他为这一“幸运的小事件”道歉,并促使该公司立即采取“纠正措施”。

埃拉德坚持认为
受影响的“数据已被去识别化——标识符、出生日期、注释等——
因此没有被暴露。”

私人的个人
vpnMotion 查看的用户数据包括:治疗发票;概述
建议的治疗方法;视频文件,包括 360 度身体和面部扫描;和
患者面部、“非常生动”的身体、乳房和生殖器侧面照片,
尽管模糊,但已显示在博客文章中。

“这一事件只会加强我们对保护您的数据的持续关注
当您使用 Nextmotion 应用程序时,您的患者数据,”Elard 说,
补充说所有数据都存储在法国的安全 HDS 中
(个人数据托管)合规医疗云。


vpnMentor 研究团队发现 NextMotion 数据库中存在漏洞
一个巨大的网络地图项目,”博客文章中说道。它是
研究人员使用端口扫描来检查特定的 IP 块并测试开放
系统中的漏洞,并调查每个漏洞的数据
泄露。

NextMotion 表示其应用和数据管理实践
2018 年通过 GDPR(通用数据保护条例)专门法律审核
公司,以确保其遵守即将到来的数据法规
于 2019 年生效。

vpnMentor 指出 NextMotion
使用 Amazon Web Services (AWS) S3 存储桶数据库来存储患者图像
文件和其他数据,“但完全不安全”,获得对
近 900,000 个单独文件,包括
与整形外科、皮肤科相关的高度敏感的图像、视频文件和文书工作
诊所使用的治疗和咨询
NextMotion 的专有技术。

“公开、公开
可查看的 S3 存储桶并不是 AWS 的缺陷。”vpnMentor 指出。 “它们通常是错误的结果
由存储桶的所有者执行,”该安全公司表示,并补充说亚马逊
向 AWS 用户提供详细说明,帮助他们保护 S3 存储桶并
将它们保密。

就 NextMotion 而言,vpnMentor 建议
修复此错误的最快方法是:

  • 重新配置 S3 存储桶的设置以更加安全。
  • 将存储桶设为私有并添加身份验证协议。
  • 遵循 AWS 访问和身份验证最佳实践。
  • 为其 S3 存储桶添加更多保护层,以进一步限制谁可以从每个入口点访问它。

资料来源:https://www.scmagazine.com/home/security-news/french- Plastic-surgery-image-repository-left-vulnerable-but-since- Corrected-report/

现货图片

最新情报

现货图片