Frankreich: Offene Datenbank mit intimen Patient*innendaten – 100.000 Profilbilder, fast 900.000 Dateien

Das israelische IT-Sicherheitsunternehmens vpnmentor überprüft das Internet regelmäßig und systematisch nach offenen Servern und nicht abgesicherten Datenbanken. In einem am 14.02.2020 auf der Homepage des Unternehmens veröffentlichten Bericht wird mitgeteilt, dass ein Sicherheitsteam am 24.01.2020 in der Amazon AWS-Cloud eine ungesicherte Datenbank fand. In der Datenbank waren um die 900.000 Dateien einsehbar, die offenbar aus Patientenakten stammten.

Hier ein Auszug aus dem Bericht (in Deutsch übersetzt mit https://www.deepl.com/translator):

„… entdeckte das Forschungsteam von vpnMentor vor kurzem eine beschädigte Datenbank des plastisch-chirurgischen Technologieunternehmens NextMotion. NextMotion stellt Kliniken, die in der Dermatologie, der kosmetischen und der plastischen Chirurgie arbeiten, digitale Foto- und Videogeräte für ihre Patienten zur Verfügung. Die kompromittierte Datenbank enthielt 100.000 Profilbilder von Patienten, die über die proprietäre Software von NextMotion hochgeladen wurden. Diese waren hochempfindlich, einschließlich Bilder von Gesichtern und bestimmten Körperbereichen der Patienten, die behandelt wurden… NextMotion mit Sitz in Frankreich wurde 2015 von einem Team von plastischen Chirurgen gegründet…

Das behauptet NextMotion auf seiner Website: ‚Alle Ihre Daten sind 100% sicher, gespeichert in medizinischen Wolken, die den neuesten Vorschriften für die Speicherung von Gesundheitsdaten in Ihrem Land entsprechen (GDPR, HIPAA, ISO usw.)‘. Aufgrund der Entdeckung unseres Teams war dies jedoch nicht der Fall. NextMotion nutzte eine Amazon Web Services (AWS) S3-Bucket-Datenbank, umPatientenbilddateien und andere Daten zu speichern, ließ diese jedoch völlig ungesichert. Unser Team hatte Zugang zu fast 900.000 einzelnen Dateien. Dazu gehörten hochsensible Bilder, Videodateien und Unterlagen zu plastischer Chirurgie, dermatologischen Behandlungen und Beratungen, die von Kliniken mit der Technologie von NextMotion durchgeführt wurden.

In den privaten persönlichen Benutzerdaten, die wir einsahen, waren ebenfalls enthalten: Rechnungen für Behandlungen, Skizzen für vorgeschlagene Behandlungen, Videodateien, einschließlich 360-Grad-Scans von Körper und Gesicht, Fotos des Patientenprofils, sowohl im Gesicht als auch am Körper… Viele weitere Bilder waren nicht nur sensibel, sondern auch sehr anschaulich. Unser Team sah sich Nahaufnahmen der freiliegenden Brüste und Genitalien der Frauen an, darunter auch Bilder, die unmittelbar nach einem chirurgischen Eingriff aufgenommen wurden. Solche Fotos, die an die Öffentlichkeit gelangen, wären für die betroffenen Frauen verheerend.

Die Herkunft der Fotos und Dateien in der Datenbank ist zum Zeitpunkt der Erstellung dieses Artikels nicht klar, da sie nur wenige Informationen enthalten. Diese undichte Stelle hat möglicherweise Kunden von NextMotion (und ihre Patienten) auf der ganzen Welt betroffen. Die offengelegten Unterlagen und Rechnungen enthielten auch Daten von Patienten, die als persönliche Informationen (PII) identifiziert werden konnten. Diese Art von Daten kann dazu verwendet werden, um Personen in einer Vielzahl von Betrügereien, Betrug und Online-Angriffen ins Visier zu nehmen. Die Datenbank von NextMotion stellte eine echte Gefahr für die exponierten Personen dar, mit weitreichenden Auswirkungen auf die Privatsphäre und die Sicherheit aller Beteiligten…“

Schreibe einen Kommentar