Base de datos con fotos sensibles de cirugía plástica expuestas en línea

Miles de pacientes de cirugía plástica tuvieron sus fotos de antes y después expuestas accidentalmente en Internet debido a un servidor desprotegido.

Como revelaron hoy los investigadores de seguridad Noam Rotem y Ran Locar, la base de datos abierta contenía casi 900.000 archivos de pacientes de cirugía plástica, probablemente de todo el mundo.

"Estos incluían imágenes altamente sensibles, archivos de video y documentación relacionada con la cirugía plástica, los tratamientos dermatológicos y las consultas", escribieron los investigadores en una publicación en vpnMentor, un sitio de revisión de VPN.

Rotem y Locar enviaron rápidamente la base de datos a la empresa francesa NextMotion, que ofrece una plataforma de software "todo en uno" para ayudar a las clínicas de cirugía plástica a gestionar a sus pacientes.

Los clientes de la empresa incluyen más de 170 clínicas en 35 países.

Pero por alguna razón, NextMotion almacenó toda la información recopilada en un depósito de almacenamiento en línea de Amazon Web Services S3 sin protección por contraseña.

No está claro si alguien más encontró la base de datos abierta.

Pero en las manos equivocadas, la información expuesta podría haber sido abusada para cometer chantajes contra los pacientes afectados.

“Muchas más imágenes no solo eran sensibles sino también muy gráficas.

Nuestro equipo vio fotografías en primer plano de los senos y genitales expuestos de mujeres, incluidas imágenes tomadas inmediatamente después de un procedimiento quirúrgico ”, escribieron los investigadores.

"La publicación de esas fotos en el dominio público sería devastadora para las mujeres afectadas".

Los investigadores descubrieron la base de datos expuesta el mes pasado como parte de un "proyecto de mapeo web".

Luego informaron sus hallazgos a NextMotion, que desde entonces ha asegurado la base de datos.

"Inmediatamente tomamos medidas correctivas y esta misma compañía garantizó formalmente que la falla de seguridad había desaparecido por completo", escribió el CEO de NextMotion, Emmanuel Elard, en un comunicado en el sitio web de la compañía.

Se desconoce por qué la base de datos se dejó insegura.

Elard le dijo a Daxdi: "Todavía estamos investigando internamente sobre lo que podría suceder con el plomo hasta que esta exposición de datos.

En este momento hemos comenzado un análisis profundo y una auditoría sobre nuestros procesos de seguridad con una empresa certificada".

Desafortunadamente, probablemente no será la última vez que escuche sobre una base de datos que accidentalmente filtró información confidencial de personas en Internet.

Muchas empresas confían en los servidores en la nube para almacenar información fácilmente, pero a menudo cometen el error de no proteger sus servidores.

"NextMotion podría haber evitado fácilmente esta filtración si hubiera tomado algunas medidas de seguridad básicas para proteger su base de datos", escribieron Rotem y Locar.

Recomiendan a todas las empresas que verifiquen dos veces y se aseguren de que sus servidores sean seguros.

Miles de pacientes de cirugía plástica tuvieron sus fotos de antes y después expuestas accidentalmente en Internet debido a un servidor desprotegido.

Como revelaron hoy los investigadores de seguridad Noam Rotem y Ran Locar, la base de datos abierta contenía casi 900.000 archivos de pacientes de cirugía plástica, probablemente de todo el mundo.

"Estos incluían imágenes altamente sensibles, archivos de video y documentación relacionada con la cirugía plástica, los tratamientos dermatológicos y las consultas", escribieron los investigadores en una publicación en vpnMentor, un sitio de revisión de VPN.

Rotem y Locar enviaron rápidamente la base de datos a la empresa francesa NextMotion, que ofrece una plataforma de software "todo en uno" para ayudar a las clínicas de cirugía plástica a gestionar a sus pacientes.

Los clientes de la empresa incluyen más de 170 clínicas en 35 países.

Pero por alguna razón, NextMotion almacenó toda la información recopilada en un depósito de almacenamiento en línea de Amazon Web Services S3 sin protección por contraseña.

No está claro si alguien más encontró la base de datos abierta.

Pero en las manos equivocadas, la información expuesta podría haber sido abusada para cometer chantajes contra los pacientes afectados.

“Muchas más imágenes no solo eran sensibles sino también muy gráficas.

Nuestro equipo vio fotografías en primer plano de los senos y genitales expuestos de mujeres, incluidas imágenes tomadas inmediatamente después de un procedimiento quirúrgico ”, escribieron los investigadores.

"La publicación de esas fotos en el dominio público sería devastadora para las mujeres afectadas".

Los investigadores descubrieron la base de datos expuesta el mes pasado como parte de un "proyecto de mapeo web".

Luego informaron sus hallazgos a NextMotion, que desde entonces ha asegurado la base de datos.

"Inmediatamente tomamos medidas correctivas y esta misma compañía garantizó formalmente que la falla de seguridad había desaparecido por completo", escribió el CEO de NextMotion, Emmanuel Elard, en un comunicado en el sitio web de la compañía.

Se desconoce por qué la base de datos se dejó insegura.

Elard le dijo a Daxdi: "Todavía estamos investigando internamente sobre lo que podría suceder con el plomo hasta que esta exposición de datos.

En este momento hemos comenzado un análisis profundo y una auditoría sobre nuestros procesos de seguridad con una empresa certificada".

Desafortunadamente, probablemente no será la última vez que escuche sobre una base de datos que accidentalmente filtró información confidencial de personas en Internet.

Muchas empresas confían en los servidores en la nube para almacenar información fácilmente, pero a menudo cometen el error de no proteger sus servidores.

"NextMotion podría haber evitado fácilmente esta filtración si hubiera tomado algunas medidas de seguridad básicas para proteger su base de datos", escribieron Rotem y Locar.

Recomiendan a todas las empresas que verifiquen dos veces y se aseguren de que sus servidores sean seguros.