Centenas de milhares de documentos com informações pessoais de pacientes de cirurgias plásticas e fotos altamente sensíveis foram expostas online por um vazamento em um banco de dados da Amazon Web Services (AWS) mal protegido. As imagens são da empresa francesa NextMotion e foram encontradas no fim de janeiro.
A NextMotion é uma empresa de tecnologia em cirurgia plástica que fornece serviços de imagem e gerenciamento de pacientes. Seus serviços ajudam 170 clínicas de cirurgia plástica de 35 países a documentar, digitalizar e comercializar suas práticas.
A empresa promete aos clientes resolver “problemas de imagem anteriores e posteriores, tranquilizar seus pacientes, simplificar o gerenciamento de dados e melhorar sua reputação eletrônica”.
“O NextMotion é um ecossistema baseado em uma nuvem médica que permite classificar, armazenar e acessar seus dados onde quer que você esteja”, diz o site da empresa. “Nesse sentido, todos os seus dados são cobertos pelo mais alto nível de segurança solicitado, pois estão hospedados na França em servidores autorizados pela Haute Autorité de Santé (Autoridade Francesa de Saúde) – no nosso caso, a AWS que é certificada”.
Imagens sensíveis de pacientes foram expostas
O banco de dados foi usado pela NextMotion para armazenar cerca de 900 mil arquivos com imagens e vídeos altamente sensíveis de pacientes, além de cirurgias plásticas, tratamentos dermatológicos e documentos de consulta.
Depois de analisar o banco de dados aberto descoberto em 24 de janeiro, em colaboração com o vpnMentor, os pesquisadores de segurança Noam Rotem e Ran Locar encontraram esboços e faturas para tratamentos cosméticos, vídeos de varreduras corporais e faciais em 360 graus, além de fotos de pacientes que, em alguns casos, eram instantâneos explícitos de órgãos genitais, seios e muito mais.
Todos esses arquivos foram carregados pelos clientes da NextMotion usando a solução de imagens médicas da empresa no banco de dados não seguro.
Embora não haja como saber o número exato de pacientes que tiveram suas informações expostas, as centenas de milhares de arquivos encontrados sugerem que milhares de pacientes tiveram sua privacidade exposta.
Dados de identificação também expostos
O CEO da NextMotion disse em comunicado à imprensa que os dados dos pacientes armazenados no banco de dados com vazamento “foram desidentificados – identificadores, datas de nascimento, anotações etc. – e, portanto, não foram expostos”.
No entanto, “a papelada e as faturas expostas também continham dados de informações de identificação pessoal (PII) dos pacientes”, como explicaram os dois pesquisadores. “Este tipo de dado pode ser usado para atingir pessoas em uma ampla variedade de golpes, fraudes e ataques online”, acrescentou o relatório.
“Nós imediatamente tomamos medidas corretivas e formalmente garantimos que a falha de segurança havia desaparecido completamente”, diz a NextMotion. “Esse incidente apenas reforçou nossa preocupação constante de proteger seus dados e os de seus pacientes quando você usa o aplicativo NextMotion“.
Incidentes anteriores com pacientes de cirurgia plástica
Essa não é a primeira vez que as informações pessoais sensíveis de pacientes de cirurgias plásticas podem ter caído em mãos erradas após um incidentes de segurança.
Em 2017, a London Bridge Plastic Surgery emitiu uma declaração de violação de dados dizendo que o grupo de hackers The Dark Overlord (TDO) conseguiu roubar informações dos pacientes e fotos altamente sensíveis.
O AZ Plastic Surgery Center notificou 5.524 pacientes em fevereiro de 2019 que algumas de suas informações de saúde protegidas (PHI) podem ter sido acessadas pelo TDO.
No início de novembro de 2019, o Centro de Restauração Facial informou ao Departamento de Saúde e Serviços Humanos dos EUA que as PII de até 3.600 pacientes podem ter sido roubadas em um incidentes de hackers.
Via: BleepingComputer
Tags: