نشت داده های گسترده در شرکت فرانسوی NextMotion ، فعال در زمینه جراحی زیبایی است IT متولد می شود

[English] محققان امنیتی با یک نشت بزرگ داده در شرکت فرانسوی NextMotion ، یک شرکت فناوری برای جراحی پلاستیک روبرو شده اند. یک بانک اطلاعاتی به خطر بیافتد شامل 100000 عکس پروفایل و داده های شخصی (و همچنین صمیمی) از بیمارانی که تحت عمل جراحی زیبایی روی جراحان قرار گرفتند. من اطلاعات را مستقیماً از vpnmentor دریافت کردم. NextMotion نشت داده ها را تأیید کرده است.

NextMotion یک شرکت فناوری است که کلینیک هایی را که در زمینه های پوستی ، آرایشی و جراحی پلاستیک کار می کنند با تجهیزات دیجیتالی عکس و فیلم برای بیماران خود فراهم می کند. این شرکت در فرانسه مستقر است و در سال 2015 توسط تیمی از جراحان پلاستیک تأسیس شده است تا خدمات کلینیکی را به آنها ارائه دهد:

ابزارهای فناوری دیجیتال و نوآورانه که به حل مشکلات قبل و بعد از جراحی زیبایی برای تسکین بیماران خود کمک می کنند. برای ساده کردن مدیریت داده ها و بهبود شهرت.

این شرکت به سرعت رشد کرده است. در سال 2019 ، در 170 درمانگاه در 35 کشور جهان و سرمایه گذاری 1 میلیون یورو برای گسترش بیشتر جهانی به حضور جهانی دست یافت. ویدئوی زیر تصویری از عملکرد آنها نشان می دهد.

(منبع: یوتیوب)

مردم می نویسند: در مدیریت فرایند زیبایی شناسی با استاندارد جدید مطابقت داشته باشید. Nextmotion بهترین راه حل برای انجام فعالیت های زیبایی شناختی 100٪ مرتبط است. فیلم های استاندارد و پویا ایجاد کنید ، فعالیت های روزانه خود را مدیریت کنید و بیماران خود را بشناسید.

آنها به مشتریان "نمونه کارها در ابر" ارائه می دهند تا جراحان زیبایی از قبل از دسترسی به بهترین داده ها به بهترین اطلاعات دسترسی داشته باشند. بعد از گرفتن عکس در حین عمل زیبایی. در این روش می توانید از تبلت استفاده کنید تا با استفاده از پوست سر چه امکاناتی را به مشتری نشان دهید. و این شرکت به مشتریان قول می دهد که یک "ابر پزشکی امن" در اختیار داشته باشند تا داده ها را ذخیره کنند.

 تبلیغات Nextmotion
(تبلیغات عکس تبلیغات بعدی در وب)

بنابراین این شرکت فناوری در یک کار می کند منطقه ای بسیار حساس که در آن بایستی داده های بیمار ایمن باشد. این بارها و بارها در همه نقاط تأکید می شود.

این شرکت در وب سایت خود افتخار می کند که کلیه استانداردها ، از GDPR گرفته تا نیازهای پزشکی ، رعایت می شود. اما همه چیز سر و صدا و دود است.

نشت داده ها

تیمی از محققان امنیتی vpnmentor ، به سرپرستی نوام روتم و ران لوکار ، در 24 ژانویه سال 2020 یک بانک اطلاعاتی باز از یک شرکت را کشف کردند. این بانک اطلاعاتی به این شرکت تعلق گرفت ، تیم توانست سریعاً NextMotion را به عنوان مالک بالقوه شناسایی کند.

NextMotion از یک پایگاه داده سطل S3 آمازون وب (AWS) برای ذخیره عکس ، فیلم و سایر داده ها (صورتحساب و غیره) استفاده کرد. با این حال ، پس انداز از بیماران ، این پایگاه داده را کاملاً ناامن کرد. و این به رغم این واقعیت است که NextMotion در وب سایت خود می نویسد: [

"تمام اطلاعات شما 100٪ ایمن است ، در ابر پزشکی ذخیره می شود ، و این مطابق با آخرین مقررات برای ذخیره داده های بهداشتی در کشور شما است (GDPR ، HIPAA ، ISO ، و غیره. "

با این حال ، تیم امنیتی vpnmentor تقریبا به 900000 پرونده فردی دسترسی داشت. این پرونده ها شامل تصاویر بسیار حساس ، پرونده های ویدیویی و اسناد مربوط به جراحی پلاستیک ، درمان های پوستی و توصیه هایی است که توسط کلینیک ها با استفاده از فناوری NextMotion ارائه می شود. داده های شخصی کاربر شخصی که محققان امنیتی مشاهده کرده اند شامل:

  • فاکتورهای درمانی
  • طرح های درمانی
  • پرونده های تصویری ، از جمله اسکن های بدنه و صورت 360 درجه [عکسهایعکس(مشخصاتنمایه)صورتوهمچنینبدن

نمای کلی روش های مختلف جراحی پلاستیک یک بیمار با هزینه ها و قرار ملاقات های مرتبط را نشان می دهد.

 عمل جراحی پلاستیک داده های بیمار
(منبع: vpnmentor)

موارد زیر نمونه هایی از بیمارانی است که برای جراحی صورت آماده می شوند. این همچنین شامل عکسهایی است که تیم امنیتی از فیلمهایی که تماشا کرده اند گرفته است. تصاویر توسط محققان امنیتی به دلایل محافظت از داده ها پیکسل شده بودند.

 نمونه هایی از بیماران که برای انجام مراحل آماده می شوند

بسیاری از تصاویر نه تنها حساس بودند بلکه بسیار صمیمی بودند. این تیم نزدیک به سینه های برهنه و دستگاه تناسلی زنان را در بانک اطلاعاتی یافت ، از جمله عکس هایی که بلافاصله پس از عمل گرفته شده اند.

ریشه عکس ها و پرونده ها در بانک اطلاعاتی در زمان نوشتن مشخص نیست. زیرا آنها اطلاعات کمی دارند. این نشت داده ها ممکن است بر مشتریان NextMotion (جراحان و بیماران آنها) در سراسر جهان تأثیر بگذارد. انتشار اینگونه عکسها برای زنان / بیماران آسیب پذیر ویرانگر خواهد بود.

اسناد و فاکتورهای فاش شده همچنین شامل داده هایی از بیمارانی بودند که شامل اطلاعات شخصی بودند (PII). از این نوع داده ها می توان برای هدف قرار دادن افراد برای انواع کلاهبرداری و حمله آنلاین استفاده کرد. بانک اطلاعاتی NextMotion برای سوژه های داده خطر جدی ایجاد کرده و پیامدهای گسترده ای برای حفظ حریم خصوصی و امنیت همه افراد درگیر دارد.

تأثیر این نشت اطلاعات

با توجه به ماهیت بسیار حساس (صمیمی) و شخصی پرونده ها در معرض دید. بانک اطلاعاتی – که مربوط به اقدامات پزشکی ، منابع مالی و تصاویر گرافیکی است – این یک فاجعه برای NextMotion و افراد تحت تأثیر است. شرکت باید برای تأمین امنیت این اطلاعات (به عنوان مثال رمزگذاری شده) اقدامات بیشتری انجام داده باشد. NextMotion به وضوح از ماهیت حساس داده های ذخیره شده آگاه بود. وب سایت شرکت بارها و بارها آیین نامه های مختلف دولت و قوانین مربوط به محافظت از داده ها را که آنها ادعا می کنند با آنها مطابقت دارند ("GDPR / GDPR ، HIPPA ، ISO ، و غیره") برجسته کرده است.

علیرغم تلاش های آنها ، به نظر می رسد آنها نتوانستند داده ها را ارائه دهند. برای محافظت از افرادی که از فناوری خود استفاده می کنند. در نتیجه ، آنها انواع مشکلات بالقوه ایجاد کرده اند. vpnmentor می نویسد:

محافظت از داده ها نه تنها یک مشکل مهم تجاری برای شرکتهایی است که در صنعت پزشکی فعالیت می کنند. جنبه های قانونی جدی وجود دارد. با افشای سوابق ، تصاویر و PII بیمار ، NextMotion می تواند مسئولیت اقدامات قانونی توسط خود بیماران یا توسط تنظیم کننده ها در کشورهایی که کار می کنند ، باشد.

از آنجا که NextMotion در فرانسه مستقر است ، در آن دسته قرار می گیرد. صلاحیت اتحادیه اروپا و GDPR. NextMotion از این امر آگاه است – این شرکت ادعا می کند "100٪ GDPR و داده های بهداشتی سازگار است". NextMotion می تواند جریمه و سایر مراحل قانونی تحت GDPR را انتظار داشته باشد.

اگر کلینیک ها نتوانند به NextMotion اعتماد کنند تا اطلاعات بیماران خود را ایمن نگه دارند ، آنها از استفاده از فناوری این شرکت دریغ خواهند کرد. این امر می تواند منجر به از بین رفتن مشتریان فعلی و دخالت در گسترش برنامه ریزی شده آنها به بازارهای جدید شود. بسیاری از پیامدهای دیگر را می توان در پست وبلاگ vpnmentor یافت.

پس از اینکه NextMotion در 27 ژانویه سال 2020 توسط محققان امنیتی تماس گرفت ، تا 11 فوریه سال 2020 طول کشید تا پاسخی حاصل شود. در اینجا برنامه منتشر شده توسط vpnmentor:

  • Discovery: 24/01
  • تماس با ارائه دهندگان: 27/01
  • تماس با AWS: 30/01
  • اقدام ارائه دهنده: 5/02
  • پاسخ شرکت: 11/02

NextMotion حادثه محافظت از داده

مکمل: در چنین حوادثی همیشه معلوم نیست که آیا این فقط بیانیه محقق امنیتی است. بنابراین ، من می خواستم از مطبوعات NextMotion بخواهم بیانیه ای را بپرسم و مطبوعات آنها را در زیر مشاهده کردم:

ما در تاریخ 27 ژانویه سال 2020 مطلع شدیم که یک شرکت امنیت سایبری آزمایشاتی را در شرکت های منتخب تصادفی انجام داده و موفق شده است به سیستم اطلاعات ما دسترسی پیدا کند. آنها توانستند از بعضی از پرونده های بیماران ما فیلم و عکس بگیرند. این داده ها شناسایی شده اند – شناسه ها ، تاریخ تولد ، یادداشت ها ، و غیره – و بنابراین در معرض دید قرار نگرفت.

این شرکت با تنها هدف برای بررسی امنیت فعالیت می کند و ما را از خطر احتمالی نفوذ هشدار می دهد. ما بلافاصله اقدامات اصلاحی برداشتیم و همین شرکت به طور رسمی تضمین کرد که نقص امنیتی کاملاً ناپدید شده است. این حادثه فقط نگرانی مداوم ما را برای محافظت از داده های شما و داده های بیمارانتان هنگام استفاده از برنامه Nextmotion تقویت کرد.

به عنوان یک یادآوری ، تمام داده های شما در فرانسه ذخیره می شوند ، در یک HDS امن (شخصی میزبانی داده) ابر پزشکی سازگار. برنامه و عملكرد مدیریت داده های ما در سال 2018 توسط یك شركت حقوقی تخصصی GDPR (تنظیم عمومی حمایت از داده ها) مورد بررسی قرار گرفت تا از تطابق ما با مقررات داده ای كه در سال 2019 وارد عمل شد اطمینان حاصل شود.

این شرکت همچنین مطبوعات تماس گرفت. مقالات مربوط به این موضوع احتمالاً در روزهای آینده منتشر می شود که می تواند نگرانی های بیماران شما را برانگیزد. ما در کنار شما هستیم که دقیقاً به هر سؤالی که بیماران نگران هستند ممکن است پاسخ دهیم. در صورت تمایل می توانید پیشنهاد كنید كه آنها سؤالات خود را با ما به صورت مكتوب به این آدرس ایمیل ارسال كنند: [email protected]

شما باید بدانید كه من شخصاً متعهد به تضمین فن آوری هایی هستیم كه در اختیار شما قرار می دهم.

لطفا قبول كنید عذرخواهی صمیمانه از این واقعه خوشبختانه جزئی.

دکتر امانوئل الارد ،
مدیر عامل NextMotion

بنابراین این واقعه تأیید شده است. در جایی که اختلاف قابل توجهی وجود دارد ، ارزیابی حادثه و میزان اطلاعات در دسترس از سوابق بیمار است. مدیرعامل NextMotion می نویسد:

آنها توانستند فیلم ها و عکس ها را از برخی از پرونده های بیماران ما استخراج کنند. این داده ها شناسایی شده بودند – شناسه ها ، تاریخ تولد ، یادداشت ها ، و غیره – و بنابراین در معرض دید آنها قرار نگرفت.

بنابراین او اذعان می کند که افراد vpnmentor می توانند به فیلم ها و عکس های "برخی از بیماران" دسترسی پیدا کنند. این با اظهارات 900000 پرونده قابل دسترسی مخالف است. همچنین ادعا می شود که داده ها شناسایی نشده اند (بخوانید: اطلاعات شخصی بیمار در آنجا نبود و افراد قابل شناسایی نبودند). اطلاعات کاملاً مخالف از vpnmentor وجود دارد.

من تمام مطالب را فاش نکردم – اما تصاویر که توسط vpnmentor منتشر شده است ، محاسبات را نشان می دهد ، جایی که بیمار در صورت کاربرد با آدرس ، پزشک ، جراح و غیره از آنها استفاده می کند. محققان امنیتی اخراج شده اند. گنجاندن یک باس اصلاح شده یا سینه ، فرد را مشخص نمی کند – اما اگر یک سری عکس ذخیره شده باشد و کسی آن را منتشر کند ، می توان آن را "اوه" بنگر ، نگاه کن ، این خانم از خانه بعدی xyz است ، او احتمالاً آن را دارد.

نشانه اینکه داده ها در فرانسه در یک ابر پزشکی سازگار با HDS (میزبانی اطلاعات شخصی) وجود دارد – و اینکه برنامه و شیوه های مدیریت داده های NextMotion در سال 2018 برای اطمینان از انطباق با مقررات داده ای که لازم الاجراست 2019 توسط یک شرکت حقوقی متخصص در GDPR (تنظیم مقررات عمومی حمایت از داده ها) مورد بررسی قرار گرفت – من فقط شخصاً می توانم آن را به عنوان طنز واقعی ببینم. کمی حاشیه: GDPR در تاریخ 25 مه 2018 و نه تنها در سال 2019 – بلکه مدیرعامل نیازی به دانستن ندارد – فرانسوی laisser-faire را به تازگی اعلام کرد.

آنچه هنوز ذکر نشده است: از آنجا که این شرکت پزشکان آلمانی و بیماران فعال بین المللی نیز ممکن است تحت تأثیر قرار بگیرند. و پزشكانی كه از نظر GDPR خود را به اندازه كافی در برابر بیماران و NextMove به عنوان یك پردازنده داده ایمن نكرده اند ، می توانند خود را در برابر خسارتها مسئول بدانند و مورد توجه مسئولان نظارت بر حفاظت از داده قرار بگیرند.

Theme: Overlay by Kaira