• IT-Karriere:
  • Services:

Gesichter, Körper, Operationen: Patientendaten von Schönheits-OPs in ungeschützter Datenbank

Das französische Unternehmen Nextmotion hat wichtige Daten seiner Kunden in einer komplett offenen Datenbank abgelegt. Angreifer konnten darauf per IP-Adresse zugreifen. Dazu gehörten Hunderttausende Bilder von Gesichtern und Körperregionen von Patienten, die sich einer Schönheitsoperation unterzogen hatten.

Artikel veröffentlicht am ,
Patienten von Schönheitsoperationen werden davon nicht amüsiert sein.
Patienten von Schönheitsoperationen werden davon nicht amüsiert sein. (Bild: Photo by Vidal Balielo Jr. from Pexels/CC0 1.0)

"All Ihre Daten sind zu 100 Prozent sicher", rühmt sich der französische Softwaredienstleister Nextmotion. Allerdings speicherte das französische Unternehmen Patientendaten von plastischen Chirurgen in einer ungesicherten und unverschlüsselten Datenbank ab. Das fiel den Entwicklern von VPNmentor auf. Sie fanden die Lücke durch Port Scanning. Demnach war die fragliche Datenbank bereits dann abrufbar, wenn Anwender sie per IP-Adresse ansteuerten. Nextmotion bedient nach eigenen Angaben etwa 170 Kliniken in 35 Ländern.

Stellenmarkt
  1. SIZ GmbH, Bonn
  2. Brückner Maschinenbau GmbH & Co. KG, Siegsdorf

Zu den ungesicherten Daten zählten Patientenakten mit persönlichen Informationen wie Namen, Adressen und Zahlungsinformationen. Die chirurgischen Eingriffe an diversen Körperteilen sind dort ebenso abgelegt wie wohl Hunderttausende Bilder von Gesichtern Körperregionen der Patienten. Für die Kliniken könnte das Verbreiten dieser teils sehr persönlichen Informationen nach Darstellung von VPNmentor geschäftsbedrohlich sein, wenn Kunden in der Folge wegen Misstrauens zu einem Wettbewerber wechseln. Nextmotion selbst stehen mit hoher Wahrscheinlichkeit Gerichtsverfahren bevor, weil das Unternehmen gelogen und gegen die Datenschutzgrundverordnung verstoßen hat.

AWS für die Infrastruktur

Nextmotion hat für das Speichern in der Datenbank S3-Buckets von Amazon Web Services gemietet. Der Cloud-Anbieter selbst wusste von den Sicherheitslücken nichts, denn er stellt in diesem Fall nur die für die Software notwendige Infrastruktur zur Verfügung. VPNmentor gibt an, dass AWS Kunden darauf hinweist, wie sie ihre Daten möglichst sicher ablegen könnten. Der Konzern wurde über den Vorfall informiert. Das gilt auch für Nextmotion selbst, die anscheinend mehr als zwei Wochen für eine Antwort brauchten.

Nextmotions Produkt umfasst neben der Datenspeicherung wohl auch eine Software, mit der sich Kunden kosmetische Veränderungen durch Operationen bereits vorher anschauen können. Das System speichert Patientenakten, Bilder und Videos und soll diese für Ärzte einfach und vollständig digital editierbar machen. Kliniken bezahlen für den Dienst ab 100 Euro im Monat. Nextmotion gibt an, dass die Sicherheitslücke mittlerweile vollständig geschlossen sei. Das Unternehmen entschuldigte sich bei seinen Kunden für den "kleinen Zwischenfall".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 109€ (auch bei Saturn & Media Markt)
  2. (aktuell u. a. Crucial P1 1TB PCIe-SSD 109€, WD Elements 5TB 99€, HP Druckerpapier 500 Blatt 4...

cry88 15. Feb 2020 / Themenstart

Es klingt danach, als hätten sie den bucket experimentell erstellt und dann verpeilt die...

sofries 15. Feb 2020 / Themenstart

Amazon kann man hier keinen Strick draus drehen. Die haben Dutzende Tutorials und...

Mixermachine 15. Feb 2020 / Themenstart

Bis zu 20 Million oder 4% des Umsatzes des letzten Geschäftsjahres ist schon nicht so...

LinuxMcBook 15. Feb 2020 / Themenstart

Natürlich ist mehr Vernetzung in der Medizin dringend nötig. Denn das wird definitiv...

Kommentieren


Folgen Sie uns
       


Asus Zephyrus G14 - Hands on (CES 2020)

Das Zephyrus G14 von Asus ist ein Gaming-Notebook, das nicht nur gute Hardware bietet, sondern ein zusätzliches LED-Display auf der Vorderseite. Darauf können Nutzer eigene Schriftzüge, Logos oder Animationen anzeigen lassen.

Asus Zephyrus G14 - Hands on (CES 2020) Video aufrufen
Videostreaming: So verändert Disney+ auch Netflix, Prime Video und Sky
Videostreaming
So verändert Disney+ auch Netflix, Prime Video und Sky

Der Markt für Videostreamingabos in Deutschland ist jetzt anders: Mit dem Start von Disney+ erhalten Amazon Prime Video, Netflix sowie Sky Ticket ganz besondere Konkurrenz.
Von Ingo Pakalski

  1. Disney+ Surround-Ton nur auf drei Fire-TV-Modellen
  2. Telekom-Kunden Verzögerungen bei der Aktivierung für Disney+
  3. Coronavirus-Krise Disney+ startet mit reduzierter Streaming-Bitrate

Künast-Urteil: Warum Pädophilen-Trulla ein zulässiger Kommentar sein kann
Künast-Urteil
Warum "Pädophilen-Trulla" ein zulässiger Kommentar sein kann

Die Grünen-Politikerin Renate Künast muss weiterhin wüste Beschimpfungen auf Facebook hinnehmen. Wie begründet das Berliner Kammergericht seine Entscheidung?
Eine Analyse von Friedhelm Greis

  1. Kammergericht Berlin Weitere Beleidigungen gegen Künast sind strafbar
  2. Coronavirus Vorerst geringere Videoqualität bei Facebook und Instagram
  3. Netzwerk-Zeit Facebook synchronisiert Zeit im Bereich von Mikrosekunden

IT-Chefs aus Indien: Mehr als nur ein Klischee
IT-Chefs aus Indien
Mehr als nur ein Klischee

In den Vorstandsetagen großer Tech-Unternehmen sind Inder allgegenwärtig. Der Stereotyp des IT-Experten aus Südasien prägt die US-Popkultur. Doch hinter dem Erfolg indischstämmiger Digitalunternehmer steckt viel mehr.
Ein Bericht von Jörg Wimalasena

  1. Container, DevOps, Agilität Runter von der Insel!
  2. Generationenübergreifend arbeiten Bloß nicht streiten
  3. Frauen in der Technik Von wegen keine Vorbilder!

    •  /