پرونده های بیماران جراحی پلاستیک که در سطل غیرقابل اطمینان Amazon S3 قرار گرفته اند

webiyan فوریه 23, 2020 0 Comments

در طی آزمایشات روی شرکت های منتخب تصادفی ، محققان امنیتی پایگاه داده ای را که حاوی 100000 پرونده پرونده بیماران جراحی پلاستیک بود کشف کردند. اسناد در یک سطل نا امن سامسونگ S3 ذخیره می شدند. تصاویر صورت بیماران و قسمت های خصوصی بدن آنها از طریق نرم افزار اختصاصی NextMotion در آمازون S3 بارگذاری شد.

Records Surgery Records Leaked Online

NextMotion یک شرکت فن آوری پلاستیک جراحی پلاستیک است که نرم افزار تصویربرداری و مدیریت بیمار را توسعه می دهد. نرم افزار تصویربرداری آنها قبل و بعد از عکس ها و فیلم های بیماران ایجاد می شود. پزشکان و کلینیک ها در حدود 35 کشور مختلف از این تصاویر استفاده می کنند تا نتایج نهایی مورد انتظار را برای بیماران نشان دهند و بیماران را در حین و بعد از پیگیری بیماران پیگیری کنند.

اطلاعات را می توان در سطل آمازون S3 NextMotion بارگذاری کرد. Amazon S3 ، همچنین به عنوان سرویس ذخیره سازی ساده Amazon شناخته می شود ، خدماتی است که توسط سرویس وب آمازون برای ذخیره هر نوع اطلاعات در ابر ارائه می شود. از نظر تئوری ، یک سطل S3 مکانی امن برای ذخیره هر نوع اطلاعات است. آمازون به طور پیش فرض طیف وسیعی از ویژگیهای امنیتی انعطاف پذیر را برای جلوگیری از دسترسی کاربران غیرمجاز به داده ها فراهم می کند.

با این حال ، طی یک جستجوی تصادفی ، محققان امنیتی نوام روتم و ران لوکار توانستند به رسانه ها از پرونده های بیماران دسترسی و استخراج کنند. درمجموع تقریباً 900000 پرونده فردی در معرض دید قرار گرفت. آنها به سرعت NextMotion را به عنوان مالک بالقوه شناسایی کردند و در نتیجه طی روزها با این شرکت تماس گرفتند. یک هفته بعد ، در تاریخ 30 ژانویه ، آنها به آمازون هشدار دادند و در 5 فوریه ، سطل S3 ایمن شد.

فیشینگ ، باج خواهی و کلاهبرداری

برخی از تصاویر در معرض آن بسیار حساس هستند. آنها شامل عکس های 360 درجه از چهره بیماران و مناطق خاص بدن تحت درمان قرار می گیرند. علاوه بر پرونده های گرافیکی ، محققان امنیتی همچنین فاکتورها ، نسخه ها ، جزئیات درمان ، هزینه مراحل و همچنین تمبرهای زمانی را پیدا کردند.

به گفته محققان امنیتی ، بزرگترین نگرانی مربوط به حریم خصوصی و امنیتی است که می توانست برای این موارد ایجاد کند. خود بیماران. "گذشته از ماهیت فوق العاده حساس و صمیمی پرونده های در معرض ، آنها همچنین افراد آسیب دیده را در برابر اشکال مختلف کلاهبرداری ، سرقت و حمله آنلاین آسیب پذیر قرار داده اند." بیماران هدف یا کلینیک. این در واقع در نوامبر 2019 در مرکز ترمیم صورت در فلوریدا اتفاق افتاد. در اکتبر سال 2017 ، یک مورد نقض دیگر بر روی بیماران جراحی پلاستیک در کلینیک جراحی پلاستیک Bridge London تأثیر گذاشت.

در بیانیه رسمی ، NextMotion توضیح داد که آنها تصاویر را در یک پایگاه داده خاص رسانه ذخیره می کنند. این پایگاه داده جدا از بانک اطلاعات داده های بیماران است ، که شامل نام ها ، تاریخ تولد ، یادداشت ها و غیره می باشد. "این شرکت تأکید کرد:" فقط بانک اطلاعاتی رسانه ها در معرض قرار گرفت ، نه پایگاه داده بیماران ".

اگرچه سطل S3 است. اکنون تضمین شده است ، می توان به راحتی از این تخلف جلوگیری کرد. فقط برخی از روشهای اساسی امنیتی ، مانند تأمین امنیت سرورها و استفاده از قوانین صحیح دسترسی به سرورها ، کافی خواهد بود.