• IT-Karriere:
  • Services:

Gesichter, Körper, Operationen: Patientendaten von Schönheits-OPs in ungeschützter Datenbank

Das französische Unternehmen Nextmotion hat wichtige Daten seiner Kunden in einer komplett offenen Datenbank abgelegt. Angreifer konnten darauf per IP-Adresse zugreifen. Dazu gehörten Hunderttausende Bilder von Gesichtern und Körperregionen von Patienten, die sich einer Schönheitsoperation unterzogen hatten.

Artikel veröffentlicht am ,
Patienten von Schönheitsoperationen werden davon nicht amüsiert sein.
Patienten von Schönheitsoperationen werden davon nicht amüsiert sein. (Bild: Photo by Vidal Balielo Jr. from Pexels/CC0 1.0)

"All Ihre Daten sind zu 100 Prozent sicher", rühmt sich der französische Softwaredienstleister Nextmotion. Allerdings speicherte das französische Unternehmen Patientendaten von plastischen Chirurgen in einer ungesicherten und unverschlüsselten Datenbank ab. Das fiel den Entwicklern von VPNmentor auf. Sie fanden die Lücke durch Port Scanning. Demnach war die fragliche Datenbank bereits dann abrufbar, wenn Anwender sie per IP-Adresse ansteuerten. Nextmotion bedient nach eigenen Angaben etwa 170 Kliniken in 35 Ländern.

Stellenmarkt
  1. DB Engineering&Consulting GmbH, Berlin
  2. Pfennigparade SIGMETA GmbH, München

Zu den ungesicherten Daten zählten Patientenakten mit persönlichen Informationen wie Namen, Adressen und Zahlungsinformationen. Die chirurgischen Eingriffe an diversen Körperteilen sind dort ebenso abgelegt wie wohl Hunderttausende Bilder von Gesichtern Körperregionen der Patienten. Für die Kliniken könnte das Verbreiten dieser teils sehr persönlichen Informationen nach Darstellung von VPNmentor geschäftsbedrohlich sein, wenn Kunden in der Folge wegen Misstrauens zu einem Wettbewerber wechseln. Nextmotion selbst stehen mit hoher Wahrscheinlichkeit Gerichtsverfahren bevor, weil das Unternehmen gelogen und gegen die Datenschutzgrundverordnung verstoßen hat.

AWS für die Infrastruktur

Nextmotion hat für das Speichern in der Datenbank S3-Buckets von Amazon Web Services gemietet. Der Cloud-Anbieter selbst wusste von den Sicherheitslücken nichts, denn er stellt in diesem Fall nur die für die Software notwendige Infrastruktur zur Verfügung. VPNmentor gibt an, dass AWS Kunden darauf hinweist, wie sie ihre Daten möglichst sicher ablegen könnten. Der Konzern wurde über den Vorfall informiert. Das gilt auch für Nextmotion selbst, die anscheinend mehr als zwei Wochen für eine Antwort brauchten.

Nextmotions Produkt umfasst neben der Datenspeicherung wohl auch eine Software, mit der sich Kunden kosmetische Veränderungen durch Operationen bereits vorher anschauen können. Das System speichert Patientenakten, Bilder und Videos und soll diese für Ärzte einfach und vollständig digital editierbar machen. Kliniken bezahlen für den Dienst ab 100 Euro im Monat. Nextmotion gibt an, dass die Sicherheitslücke mittlerweile vollständig geschlossen sei. Das Unternehmen entschuldigte sich bei seinen Kunden für den "kleinen Zwischenfall".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Tales of Vesperia: Definitive Edition für 16,99€, Dragon's Dogma: Dark Arisen für 5...
  2. (u. a. Panzer Corps 2 - Field Marshal Edition für 44,99€, PSN Card 25 Euro für 21,99€, WoW...
  3. (aktuell u. a. Crucial MX500 1TB für 111€, Sandisk Extreme 128GB für 24€, Hama Essential PC...

cry88 15. Feb 2020 / Themenstart

Es klingt danach, als hätten sie den bucket experimentell erstellt und dann verpeilt die...

sofries 15. Feb 2020 / Themenstart

Amazon kann man hier keinen Strick draus drehen. Die haben Dutzende Tutorials und...

Mixermachine 15. Feb 2020 / Themenstart

Bis zu 20 Million oder 4% des Umsatzes des letzten Geschäftsjahres ist schon nicht so...

LinuxMcBook 15. Feb 2020 / Themenstart

Natürlich ist mehr Vernetzung in der Medizin dringend nötig. Denn das wird definitiv...

Kommentieren


Folgen Sie uns
       


Asus Zephyrus G14 - Hands on (CES 2020)

Das Zephyrus G14 von Asus ist ein Gaming-Notebook, das nicht nur gute Hardware bietet, sondern ein zusätzliches LED-Display auf der Vorderseite. Darauf können Nutzer eigene Schriftzüge, Logos oder Animationen anzeigen lassen.

Asus Zephyrus G14 - Hands on (CES 2020) Video aufrufen
Homeschooling-Report: Wie Schulen mit der Coronakrise klarkommen
Homeschooling-Report
Wie Schulen mit der Coronakrise klarkommen

Lösungen von Open Source bis kommerzielle Lernsoftware, HPI-Cloud und Lernraum setzen Schulen derzeit um, um ihre Schüler mit Aufgaben zu versorgen - und das praktisch aus dem Stand. Wie läuft's?
Ein Bericht von Stefan Krempl

  1. Kinder und Technik Elfjährige CEO will eine Milliarde Kinder das Coden lehren
  2. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  3. Mädchen und IT Fehler im System

Datenschutz: Dürfen Ärzte, Lehrer und Anwälte Whatsapp beruflich nutzen?
Datenschutz
Dürfen Ärzte, Lehrer und Anwälte Whatsapp beruflich nutzen?

Das Coronavirus zwingt Ärzte, Lehrer und Rechtsanwälte zu digitaler Kommunikation mit und über ihre Patienten, Schüler und Mandanten. Viele setzen auf Whatsapp. Verstoßen sie damit gegen den Datenschutz oder machen sich gar strafbar?
Von Harald Büring

  1. Coronavirus Britische Soldaten müssen Whatsapp-Befehlen folgen
  2. Sicherheitslücke Dateien auslesen mit Whatsapp Desktop
  3. Messenger Whatsapp deaktiviert Chatexport in Deutschland

Videostreaming: So verändert Disney+ auch Netflix, Prime Video und Sky
Videostreaming
So verändert Disney+ auch Netflix, Prime Video und Sky

Der Markt für Videostreamingabos in Deutschland ist jetzt anders: Mit dem Start von Disney+ erhalten Amazon Prime Video, Netflix sowie Sky Ticket ganz besondere Konkurrenz.
Von Ingo Pakalski

  1. Disney+ Surround-Ton nur auf drei Fire-TV-Modellen
  2. Telekom-Kunden Verzögerungen bei der Aktivierung für Disney+
  3. Coronavirus-Krise Disney+ startet mit reduzierter Streaming-Bitrate

    •  /