Fotos sensibles de cirugía plástica expuestas en línea


Otros registros filtrados incluyen films, escaneos faciales y corporales, así como una variedad de datos personales de los pacientes.

Se han descubierto cientos de miles de registros pertenecientes a pacientes de cirugía plástica sentados en un servidor desprotegido y accesibles para que cualquiera pueda verlos. Los registros se almacenaron en una foundation de datos de cubo S3 de Amazon Website Products and services (AWS) perteneciente a NextMotion, una compañía de tecnología de cirugía plástica que brinda soluciones de imágenes a clínicas de todo el mundo.

Investigadores en vpnMentor, quienes descubrieron la fuga, pudieron acceder a unos 900,000 registros individuales. Estos iban desde imágenes de antes y después y video clips de procedimientos cosméticos hasta registros de naturaleza altamente smart, incluidas fotos gráficas de las partes privadas del cuerpo de los pacientes. El origen de los registros en la foundation de datos no está claro, pero se puede suponer que la fuga afectó a los clientes de NextMotion.

Además de las fotos faciales y corporales del paciente, la gran cantidad de información incluía facturas, esquemas de los tratamientos propuestos y archivos de video clip que incluyen escaneos faciales y corporales de 360 ​​grados. Las facturas detallaban los procedimientos médicos, sus costos, las fechas en que se realizaron y la información private que podría ayudar a identificar a los pacientes.

Todas las cosas consideradas los datos podrían permitir a los piratas informáticos con intenciones maliciosas crear un retrato completo de sus posibles víctimas. Los pacientes podrían convertirse fácilmente en objetivos de el robo de identidad, suplantación de identidad, fraude financiero o incluso Sextortion, donde los delincuentes usan materials íntimo para exigir un rescate.

CEO de NextMotion Dr. Emmanuel Elard se disculpó, agregando que el problema ha sido abordado: “Amazon Website Services nos advirtió el 30 de enero. Después de discusiones internas con el soporte de Amazon, tomamos medidas correctivas de inmediato el 4 de febrero. La compañía de seguridad cibernética garantizó formalmente que la falla de seguridad había desaparecido por completo «.

Como NextMotion tiene su sede en Francia, está sujeta a la normativa de la Unión Europea. Reglamento normal de protección de datos (GDPR) Aunque el sitio website de la compañía afirma que su tecnología está certificada por GDPR, el hecho de no proteger los datos confidenciales de los pacientes puede conllevar fuertes sanciones y acciones legales.

Mal configurado y repositorios de datos públicos no seguros se han convertido en una ocurrencia común. En un caso reciente, miles de solicitudes de certificados de nacimiento fueron almacenados sin protección en una plataforma en la nube de AWS, mientras que otro la fuga de datos afectó a casi todos los ciudadanos de Ecuador. Estas filtraciones no fueron intencionales, pero ha habido casos en que las clínicas de cirugía estética, como un clínica bien conocida en Londres, fueron atacados por cibercriminales.








Enlace a la noticia original