vpnMentor的研究人員在博客中寫道,歐洲成千上萬的整形外科患者的前後照片最近易受傷害,但自矯正以來, 發表.
由Noam Rotem和Ran Locar領導的研究人員於24月2015日發現,NextMotion並未保護或加密自XNUMX年以來與其合作的醫生和診所的人的身體圖像和PII。
Next Motion,為全球170家診所提供服務
在35個國家/地區的網站數據安全部分中確認
27月XNUMX日從一家安全公司獲悉
通過對隨機選擇的公司進行測試的結果,它設法訪問了
信息系統,並告知公司潛在的入侵風險。
NextMotion首席執行官伊曼紐爾·埃拉德(Emmanuel Elard)寫道:“他們能夠從我們患者的某些文件中提取視頻和照片,”他對“不幸的小事故”表示歉意,並立即要求其採取“糾正措施”。
埃拉德堅持認為
影響“數據已被取消標識-標識符,出生日期,註釋等-
因此沒有被暴露。”
私人
查看的用戶數據vpnMotion包括:治療發票; 概述
建議的治療方法; 視頻文件,包括360度人體和麵部掃描; 和
患者面部,“非常圖形化”的身體,乳房和生殖器輪廓照片,其中
在博客文章中顯示(儘管被遮蓋)。
“此事件僅加劇了我們對保護您的數據的持續關注
以及使用Nextmotion應用程序時的患者數據”,Elard說,
添加所有數據都存儲在法國的安全HDS中
(個人數據託管)兼容的醫療雲。
“該
vpnMentor研究小組在NextMotion的數據庫中發現了漏洞
這是一個龐大的網絡映射項目。” 它的
研究人員使用端口掃描來檢查特定的IP塊並測試開放性
漏洞中的系統漏洞,並調查每個漏洞以獲取數據
洩漏了。
NextMotion表示其應用程序和數據管理實踐是
2018年通過了GDPR(通用數據保護條例)專門法律的審核
公司,以確保其符合隨後的數據法規
於2019年生效。
vpnMentor指出NextMotion
使用Amazon Web Services(AWS)S3存儲桶數據庫存儲患者圖像
文件和其他數據,“但完全不加保護”,從而可以訪問
將近900,000個個人文件,包括
與整形外科,皮膚病學相關的高度敏感的圖像,視頻文件和文書工作
診所進行的治療和諮詢
NextMotion的專有技術。
“公開開放
可見的S3存儲桶不是AWS的缺陷,” vpnMentor指出。 “它們通常是錯誤的結果
安全公司表示,並補充說亞馬遜
向AWS用戶提供詳細說明,以幫助他們保護S3存儲桶和
保持私密性。
對於NextMotion,vpnMentor建議
解決此錯誤的最快方法是:
- 重新配置S3存儲桶的設置,以提高安全性。
- 將存儲桶設為私有並添加身份驗證協議。
- 遵循AWS訪問和身份驗證最佳實踐。
- 向其S3存儲桶添加更多保護,以進一步限制誰可以從每個入口點訪問它。
