• IT-Karriere:
  • Services:

Gesichter, Körper, Operationen: Patientendaten von Schönheits-OPs in ungeschützter Datenbank

Das französische Unternehmen Nextmotion hat wichtige Daten seiner Kunden in einer komplett offenen Datenbank abgelegt. Angreifer konnten darauf per IP-Adresse zugreifen. Dazu gehörten Hunderttausende Bilder von Gesichtern und Körperregionen von Patienten, die sich einer Schönheitsoperation unterzogen hatten.

Artikel veröffentlicht am ,
Patienten von Schönheitsoperationen werden davon nicht amüsiert sein.
Patienten von Schönheitsoperationen werden davon nicht amüsiert sein. (Bild: Photo by Vidal Balielo Jr. from Pexels/CC0 1.0)

"All Ihre Daten sind zu 100 Prozent sicher", rühmt sich der französische Softwaredienstleister Nextmotion. Allerdings speicherte das französische Unternehmen Patientendaten von plastischen Chirurgen in einer ungesicherten und unverschlüsselten Datenbank ab. Das fiel den Entwicklern von VPNmentor auf. Sie fanden die Lücke durch Port Scanning. Demnach war die fragliche Datenbank bereits dann abrufbar, wenn Anwender sie per IP-Adresse ansteuerten. Nextmotion bedient nach eigenen Angaben etwa 170 Kliniken in 35 Ländern.

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf
  2. LOTTO Hessen GmbH, Wiesbaden

Zu den ungesicherten Daten zählten Patientenakten mit persönlichen Informationen wie Namen, Adressen und Zahlungsinformationen. Die chirurgischen Eingriffe an diversen Körperteilen sind dort ebenso abgelegt wie wohl Hunderttausende Bilder von Gesichtern Körperregionen der Patienten. Für die Kliniken könnte das Verbreiten dieser teils sehr persönlichen Informationen nach Darstellung von VPNmentor geschäftsbedrohlich sein, wenn Kunden in der Folge wegen Misstrauens zu einem Wettbewerber wechseln. Nextmotion selbst stehen mit hoher Wahrscheinlichkeit Gerichtsverfahren bevor, weil das Unternehmen gelogen und gegen die Datenschutzgrundverordnung verstoßen hat.

AWS für die Infrastruktur

Nextmotion hat für das Speichern in der Datenbank S3-Buckets von Amazon Web Services gemietet. Der Cloud-Anbieter selbst wusste von den Sicherheitslücken nichts, denn er stellt in diesem Fall nur die für die Software notwendige Infrastruktur zur Verfügung. VPNmentor gibt an, dass AWS Kunden darauf hinweist, wie sie ihre Daten möglichst sicher ablegen könnten. Der Konzern wurde über den Vorfall informiert. Das gilt auch für Nextmotion selbst, die anscheinend mehr als zwei Wochen für eine Antwort brauchten.

Nextmotions Produkt umfasst neben der Datenspeicherung wohl auch eine Software, mit der sich Kunden kosmetische Veränderungen durch Operationen bereits vorher anschauen können. Das System speichert Patientenakten, Bilder und Videos und soll diese für Ärzte einfach und vollständig digital editierbar machen. Kliniken bezahlen für den Dienst ab 100 Euro im Monat. Nextmotion gibt an, dass die Sicherheitslücke mittlerweile vollständig geschlossen sei. Das Unternehmen entschuldigte sich bei seinen Kunden für den "kleinen Zwischenfall".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 14,49€
  2. (u. a. Doom Eternal für 26,99€, Prey für 6,99€, Rage 2 für 17,99€, Wolfenstein...

cry88 15. Feb 2020

Es klingt danach, als hätten sie den bucket experimentell erstellt und dann verpeilt die...

sofries 15. Feb 2020

Amazon kann man hier keinen Strick draus drehen. Die haben Dutzende Tutorials und...

Mixermachine 15. Feb 2020

Bis zu 20 Million oder 4% des Umsatzes des letzten Geschäftsjahres ist schon nicht so...

LinuxMcBook 15. Feb 2020

Natürlich ist mehr Vernetzung in der Medizin dringend nötig. Denn das wird definitiv...


Folgen Sie uns
       


Disney Plus - Test

Der Streamingdienst Disney Plus wurde am 24. März 2020 endlich auch in Deutschland gestartet. Golem.de hat die Benutzeroberfläche einem Test unterzogen und auch einen Blick auf das Film- und Serienangebot des Netflix-Mitbewerbers geworfen.

Disney Plus - Test Video aufrufen
    •  /