Gesichter, Körper, Operationen: Patientendaten von Schönheits-OPs in ungeschützter Datenbank

Das französische Unternehmen Nextmotion hat wichtige Daten seiner Kunden in einer komplett offenen Datenbank abgelegt. Angreifer konnten darauf per IP-Adresse zugreifen. Dazu gehörten Hunderttausende Bilder von Gesichtern und Körperregionen von Patienten, die sich einer Schönheitsoperation unterzogen hatten.

Artikel veröffentlicht am ,
Patienten von Schönheitsoperationen werden davon nicht amüsiert sein.
Patienten von Schönheitsoperationen werden davon nicht amüsiert sein. (Bild: Photo by Vidal Balielo Jr. from Pexels/CC0 1.0)

"All Ihre Daten sind zu 100 Prozent sicher", rühmt sich der französische Softwaredienstleister Nextmotion. Allerdings speicherte das französische Unternehmen Patientendaten von plastischen Chirurgen in einer ungesicherten und unverschlüsselten Datenbank ab. Das fiel den Entwicklern von VPNmentor auf. Sie fanden die Lücke durch Port Scanning. Demnach war die fragliche Datenbank bereits dann abrufbar, wenn Anwender sie per IP-Adresse ansteuerten. Nextmotion bedient nach eigenen Angaben etwa 170 Kliniken in 35 Ländern.

Stellenmarkt
  1. (Junior) IT Engineer Directory & Certificate Management (m/w/d)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Data Scientist (m/w/d) für parametrische Versicherungen
    Hannover Rück SE, Hannover
Detailsuche

Zu den ungesicherten Daten zählten Patientenakten mit persönlichen Informationen wie Namen, Adressen und Zahlungsinformationen. Die chirurgischen Eingriffe an diversen Körperteilen sind dort ebenso abgelegt wie wohl Hunderttausende Bilder von Gesichtern Körperregionen der Patienten. Für die Kliniken könnte das Verbreiten dieser teils sehr persönlichen Informationen nach Darstellung von VPNmentor geschäftsbedrohlich sein, wenn Kunden in der Folge wegen Misstrauens zu einem Wettbewerber wechseln. Nextmotion selbst stehen mit hoher Wahrscheinlichkeit Gerichtsverfahren bevor, weil das Unternehmen gelogen und gegen die Datenschutzgrundverordnung verstoßen hat.

AWS für die Infrastruktur

Nextmotion hat für das Speichern in der Datenbank S3-Buckets von Amazon Web Services gemietet. Der Cloud-Anbieter selbst wusste von den Sicherheitslücken nichts, denn er stellt in diesem Fall nur die für die Software notwendige Infrastruktur zur Verfügung. VPNmentor gibt an, dass AWS Kunden darauf hinweist, wie sie ihre Daten möglichst sicher ablegen könnten. Der Konzern wurde über den Vorfall informiert. Das gilt auch für Nextmotion selbst, die anscheinend mehr als zwei Wochen für eine Antwort brauchten.

Nextmotions Produkt umfasst neben der Datenspeicherung wohl auch eine Software, mit der sich Kunden kosmetische Veränderungen durch Operationen bereits vorher anschauen können. Das System speichert Patientenakten, Bilder und Videos und soll diese für Ärzte einfach und vollständig digital editierbar machen. Kliniken bezahlen für den Dienst ab 100 Euro im Monat. Nextmotion gibt an, dass die Sicherheitslücke mittlerweile vollständig geschlossen sei. Das Unternehmen entschuldigte sich bei seinen Kunden für den "kleinen Zwischenfall".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


cry88 15. Feb 2020

Es klingt danach, als hätten sie den bucket experimentell erstellt und dann verpeilt die...

sofries 15. Feb 2020

Amazon kann man hier keinen Strick draus drehen. Die haben Dutzende Tutorials und...

Mixermachine 15. Feb 2020

Bis zu 20 Million oder 4% des Umsatzes des letzten Geschäftsjahres ist schon nicht so...

LinuxMcBook 15. Feb 2020

Natürlich ist mehr Vernetzung in der Medizin dringend nötig. Denn das wird definitiv...



Aktuell auf der Startseite von Golem.de
Apple
Macbook Pro bekommt Notch und Magsafe

Apple hat das Macbook Pro in neuem Gehäuse, mit neuem SoC, einem eigenen Magsafe-Ladeport und Mini-LED-Display mit Kerbe vorgestellt.

Apple: Macbook Pro bekommt Notch und Magsafe
Artikel
  1. Displayreinigung: Apple bringt 25-Euro-Poliertuch mit Kompatibilitätsliste
    Displayreinigung
    Apple bringt 25-Euro-Poliertuch mit Kompatibilitätsliste

    Fast unbemerkt hat Apple den eigentlichen Star des Events von Mitte Oktober 2021 in seinen Onlineshop aufgenommen: ein Poliertuch.

  2. In-Ears: Apple stellt Airpods 3 vor
    In-Ears
    Apple stellt Airpods 3 vor

    Apple hat auf seinem Event die Airpods 3 vorgestellt, die den Airpods 3 Pro sehr ähnlich sehen - allerdings ohne Geräuschunterdrückung.

  3. 5 US-Dollar: Apple bietet günstigeres Music-Abo an
    5 US-Dollar
    Apple bietet günstigeres Music-Abo an

    Apple hat ein preiswerteres Apple-Music-Abo angekündigt, das aber nur mit dem Sprachassistenten Siri gesteuert werden kann.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 360€ auf Gaming-Monitore & bis zu 22% auf Be Quiet • LG-TVs & Monitore zu Bestpreisen (u. a. Ultragear 34" Curved FHD 144Hz 359€) • Bosch-Werkzeug günstiger • Dell-Monitore günstiger • Horror-Filme reduziert • MwSt-Aktion bei MM: Rabatte auf viele Produkte [Werbung]
    •  /