研究人员于上周五称,数千张与整容手术患者有关的图片、视频和记录被保存在一个不安全的数据库中,任何拥有正确IP地址的人都可以浏览这些信息。这些数据包括大约90万个记录,研究人员称这些记录可能属于数千名不同的病人。
这些数据是由法国成像公司NextMotion的软件在世界各地的诊所生成的。数据库中的图像包括整容手术前后的照片。研究人员说,这些照片通常包含裸体。其他记录包括发票的图像,其中包含可以识别病人的信息。数据库现在是安全的。
研究人员Noam Rotem和Ran Locar发现了这个暴露的数据库。他们在安全网站vpnMonitor上发表了他们的研究成果。罗特姆说,天辰游戏平台他经常把暴露的卫生保健数据库作为他的网络地图项目的一部分,该项目寻找暴露的数据。
罗特姆说:“隐私保护的状况,尤其是在医疗保健领域,真是糟糕透了。”
NextMotion在其网站上说,它在35个国家拥有170家诊所作为客户。该公司在给客户的一份声明中说,它已经解决了这个问题。NextMotion首席执行官伊曼纽尔•埃拉尔在声明中表示:“我们立即采取了纠正措施,这家公司正式保证安全漏洞已经完全消失。”“当你使用Nextmotion应用程序时,这一事件只会加强我们对保护你的数据和你的病人数据的持续关注。”
埃拉德去为“幸运的小事故”道歉。
据vpnMonitor说,虽然NextMotion说这些照片和视频不包括姓名或其他识别信息,但很多图像显示的是病人的脸。一些发票详细说明了病人接受的手术类型,如去除痤疮、疤痕和腹部整形,并包含了病人的姓名和其他识别信息。
此次泄露是一个不安全的云数据库数据的最新曝光,这是一个影响一系列敏感信息的全球性问题。被曝光的数据库泄露了美国戒毒康复患者的记录、秘鲁电影观众的国家身份号码以及全球求职者的预期工资。这个问题源于公司在没有适当的隐私协议的情况下将客户数据转移到云上。研究人员说,它影响了无数的数据库。
Rotem说,不可能知道有多少患者的信息暴露在NextMotion数据库中,因为每个患者可能在系统中有多个记录。尽管如此,天辰游戏可能还是有成千上万的病人。
NextMotion网站表示,它在法国的服务器提供了一个“安全的医疗云”,为世界各地的美容诊所存储记录。致力于数据安全的网页包括与数据安全法相关的标识,包括美国健康保险可携性和责任法案(HIPAA)和欧盟一般数据保护条例(GDPR)。
罗特姆说,这些法律要求对研究人员发现的数据进行更多层次的安全保护。他说,有些图片是病人裸体的360度视频。其中包括生殖器的图片。
“这真的、真的、真的是你不想放到网上的东西,”他说。