خرید VPNvip خرید VPN خرید کریو خرید kerio فیلتر شکن خرید فیلترشکن vip vpn

خرید VPN خرید کریو خرید وی پی ان خرید vipVPN خرید kerio فیلترشکن Vip vpn

Header Left

vip vpn
vipvpn

هزاران بیمار جراحی پلاستیک که در معرض نشت داده ها قرار دارند

by

به رهبری نوام روتم و ران لوکار ، تیم تحقیقاتی vpnMentor به تازگی یک پایگاه داده نقض شده متعلق به شرکت فناوری جراحی پلاستیک NextMotion را کشف کرد.

NextMotion کلینیک هایی را که در زمینه های پوست ، زیبایی و جراحی پلاستیک فعالیت می کنند با عکاسی دیجیتال و فیلمبرداری ارائه می دهد. دستگاه برای بیماران خود.

پایگاه داده به خطر افتاد حاوی 100000s تصویر پروفایل بیماران ، که از طریق نرم افزار اختصاصی NextMotion بارگذاری شده است. این موارد بسیار حساس بودند ، از جمله تصاویر چهره بیماران و مناطق خاصی از بدن آنها تحت درمان قرار گرفتند.

این نقض NextMotion ، مشتریان و بیماران آنها را به طرز باورنکردنی آسیب پذیر نشان داد و یک خطای چشمگیر در سیاست های حفظ حریم خصوصی داده های این شرکت نشان داد. [19659005مشخصاتشرکت

مستقر در فرانسه ، NextMotion در سال 2015 توسط تیمی از جراحان پلاستیک تاسیس شد تا کلینیک ها را ارائه دهد:

"ابزارهای فناوری دیجیتال و برش لبه ای که به حل مشکلات قبل و بعد از تصویربرداری کمک می کنند ، به بیماران خود اطمینان دهید ، مدیریت داده خود را ساده کرده و شهرت الکترونیکی خود را بهبود بخشید. "

این شرکت به سرعت رشد کرده است. این شرکت در سال 2019 با حضور 170 کلینیک در 35 کشور در سراسر جهان و یک میلیون یورو سرمایه گذاری برای گسترش بیشتر جهانی به یک حضور جهانی رسید.

Timeline of Discovery and Reaction Owner

بعضی اوقات. نقض داده و صاحب اطلاعات آشکار است و این مسئله به سرعت برطرف شد. اما این اوقات نادر است. اغلب اوقات ، ما به روزهای تحقیق نیاز داریم تا بدانیم چه چیزی در معرض خطر است یا چه کسی اطلاعات را فاش می کند.

دانستن یک نقض و تأثیر احتمالی آن ، دقت و زمان زیادی را می طلبد. ما برای انتشار گزارش های دقیق و قابل اعتماد تلاش می کنیم ، و اطمینان می دهیم که هر کسی که آنها را می خواند ، جدی بودن خود را می فهمد.

برخی از طرف های تحت تأثیر ، واقعیت ها را رد می کنند ، به تحقیقات ما بی اعتنایی می کنند ، یا تأثیر آن را بازی نمی کنند. بنابراین ، ما باید کاملاً دقیق باشیم و اطمینان حاصل کنیم که همه چیزهایمان درست و دقیق است.

در این مورد ، بانک اطلاعاتی به این شرکت داده شد ، بنابراین ما به سرعت NextMotion را به عنوان مالک بالقوه شناسایی کردیم. ما بیشتر تحقیق کردیم تا اطمینان حاصل کنیم که این صحیح قبل از حرکت به جلو صحیح است.

  • تاریخ کشف: 24/01
  • فروشندگان تاریخ با ما تماس گرفتند: 27/01
  • تاریخ تماس با AWS: 30/01 [19659016] تاریخ عمل: 5/02
  • تاریخ پاسخ: 11/02

نمونه ورود در بانک اطلاعاتی

NextMotion در وب سایت خود ادعا كرد كه:

"تمام اطلاعات شما 100٪ ایمن است ، در ابرهای پزشکی که مطابق با آخرین مقررات ذخیره سازی داده های بهداشتی در کشور شما هستند (GDPR ، HIPAA ، ISO ، و غیره) ذخیره شده است."

بر اساس کشف تیم ما ، با این حال ، این مورد نبود.

NextMotion با استفاده از بانک اطلاعاتی سطل S3 آمازون وب (AWS) برای ذخیره پرونده های تصویر بیمار و سایر داده ها ، اما آن را کاملاً نا امن قرار داد.

تیم ما تقریباً دسترسی داشت 900،000 پرونده انفرادی. این شامل تصاویر بسیار حساس ، پرونده های ویدئویی ، و کارهای کاغذی مربوط به جراحی پلاستیک ، درمان های پوستی و مشاوره توسط کلینیک ها با استفاده از فناوری NextMotion انجام شده است.

اطلاعات شخصی کاربر شخصی که مشاهده کردیم شامل موارد زیر است:

  • صورت حساب برای معالجه
  • رئوس مطالب مربوط به درمانهای پیشنهادی
  • پرونده های ویدئویی ، از جمله اسکن های بدن و صورت 360 درجه
  • عکس های مشخصات بیمار ، از نظر صورت و بدن

در اسکن زیر ، انواع روش های جراحی پلاستیک بیمار مشخص شده است. ، با هزینه و تاریخ درگیر است.

پرونده های کاغذی برای رویه های کم شدت تر نیز ، همانطور که در دو نمونه بعدی مشاهده می شود ، در معرض دید است.

در زیر نمونه هایی از بیمارانی که برای انجام مراحل روی صورت خود آماده می شوند. این شامل عکسهایی است که از فیلمهایی که مشاهده کردیم گرفته است. (تار شدن توسط تیم ما برای اهداف حفظ حریم خصوصی انجام شده است)

بسیاری دیگر از تصاویر فقط حساس نبودند بلکه بسیار گرافیکی است. تیم ما عکس های نزدیک از سینه ها و دستگاه تناسلی در معرض دید زنان را مشاهده کرد ، از جمله عکس هایی که بلافاصله پس از عمل جراحی گرفته شده است. (یک مثال مناسب در زیر نشان داده شده است)

چنین عکسهایی که در حوزه عمومی منتشر می شوند برای زنان آسیب دیده ویرانگر خواهد بود.

عکس ها و پرونده های موجود در پایگاه داده در زمان نوشتن مشخص نیست ، زیرا اطلاعات کمی به آنها وصل شده است. این نشت احتمالاً تحت تأثیر مشتریان NextMotion (و بیماران آنها) در سرتاسر جهان قرار گرفته است.

مدارک و فاکتورها که در معرض دید قرار داشتند ، حاوی اطلاعات شناسایی شخصی (PII) بیماران نیز بودند. از این نوع داده ها می توانید برای هدف قرار دادن افراد در طیف گسترده ای از کلاهبرداری ، کلاهبرداری و حملات آنلاین استفاده شود.

بانک اطلاعاتی NextMotion برای افرادی که در معرض خطر قرار دارند ، خطر واقعی را برای افراد در معرض خطر ایجاد می کند ، و این شامل امنیت گسترده و پیامدهای امنیتی برای همه است.

تأثیر نقض داده ها

با توجه به ماهیت بسیار حساس و شخصی پرونده های موجود در پایگاه داده در معرض – مربوط به روشهای پزشکی ، امور مالی بیمار و حاوی تصاویر گرافیکی – NextMotion باید بیشتر نگه داشت تا این اطلاعات امن است.

NextMotion به وضوح از این امر آگاه است. وب سایت شرکت بارها و بارها آیین نامه های مختلف دولت و قوانین مربوط به امنیت داده ها را رعایت می کند ("GDPR ، HIPPA ، ISO ، و غیره.").

به نظر می رسد ، علی رغم بهترین تلاش های خود ، آنها نتوانستند از داده ها محافظت کنند. افرادی که از فناوری خود استفاده می کنند با انجام این کار ، آنها طیف گسترده ای از مسائل بالقوه را ایجاد کردند.

For NextMotion

حریم خصوصی داده ها فقط یک نگرانی مهم برای شرکتهای شاغل در صنایع پزشکی نیست. ملاحظات جدی جدی وجود دارد. با افشای پرونده های بیمار ، تصاویر و PII ، NextMotion می تواند مسئول اقدامات قانونی توسط خود بیماران یا نهادهای نظارتی در کشورهایی باشد که آنها فعالیت می کنند.

همانطور که NextMotion در فرانسه مستقر است ، این در صلاحیت اتحادیه اروپا و GDPR است. این چیزی است که NextMotion از آن آگاه است – این شرکت ادعا می کند که "100٪ GDPR و داده های بهداشتی سازگار است".

با این حال ، با حمایت از داده های بیماران از مشتریان خود ، NextMotion هنوز هم می تواند جریمه یا اقدامات قانونی دیگری را روبرو کند. [GDP65]

داده های فاش شده می تواند نیز منجر به از دست دادن مشتری شود. اگر کلینیک ها برای حفظ امنیت اطلاعات بیماران خود به NextMotion اعتماد نکنند ، تمایلی به استفاده از فناوری این شرکت ندارند. این می تواند منجر به گم شدن مشتری های فعلی و تأثیرگذاری بر برنامه ریزی شده آنها به بازارهای جدید شود.

سرانجام ، رقیبان می توانستند چنین نشتی داشته باشند تا Netxtmotion را تضعیف کنند. این نرم افزار نه تنها به بینش چگونگی عملکرد نرم افزار آن کمک می کند ، و به آنها امکان می دهد آن را تکرار کنند ، بلکه می توانند از این فرصت برای سوء استفاده از مطبوعات منفی در اطراف نشت نیز استفاده کنند.

همه این نتایج می تواند منجر به صدمات طولانی مدت به NextMotion شود ، شهرت و درآمد آنها.

برای مشتریان NextMotion

به احتمال زیاد ، مشتریان NextMotion با واکنشهای منفی بیماران روبرو می شوند تا اطلاعات آنها فاش شود.

فرم رضایت نامه زیر است. از یکی از مشتریان برتر NextMotion ، یک کلینیک معروف در فرانسه. این کلینیک به عنوان مرجع در وب سایت خود قرار دارد ، اما ممکن است بخواهد اینقدر با این نشت داده ارتباط نداشته باشد.

اگر افراد اینگونه نباشند ، می توانند تجارت خود را از دست دهند. با استفاده از نرم افزاری که می تواند اطلاعات آنها را افشا کند و یک کلینیک رقیب را انتخاب کنید ، راحت باشید این همچنین می تواند ارزش هر سرمایه گذاری را که در فناوری NextMotion توسط یک کلینیک ایجاد شده است کاهش دهد.

اگر شخصی که آنها را به هر طریقی مسئول نشت آن می داند ، ممکن است خود کلینیک ها نیز با آن برخورد قانونی کنند. این می تواند نتیجه ای پرهزینه و پرهزینه از نظر اقتصادی باشد ، خواه از طرف دادگاه تشخیص داده شود یا نه.

به طور مشابه NextMotion ، این نشت می تواند پیامدهای شدیدی برای هر کلینیک با استفاده از نرم افزار خود داشته باشد. [19659042] برای بیماران

بزرگترین نگرانی در مورد این نشت ، مسائل مربوط به حفظ حریم خصوصی و امنیتی است که می توانست برای خود بیماران ایجاد کند.

گذشته از ماهیت فوق العاده حساس و صمیمی پرونده های در معرض دید ، همچنین افراد آسیب دیده در برابر اشکال مختلف کلاهبرداری ، سرقت و حمله آنلاین آسیب پذیر شدند.

باج خواهی ، اخاذی و کلاهبرداری

اگر هکرهای جنایی به این پایگاه داده دسترسی پیدا می کردند ، می توانستند بیماران (یا درمانگاه ها) را با انتشار پرونده ها تهدید کنند.

هکرها می توانند از سوابق مالی PII و پرونده های مالی برای هدف قرار دادن بیماران مبتلا به سرقت هویت ، فعالیت های فیشینگ و کلاهبرداری مالی استفاده کنند.

این در واقع پس از یک داعش اتفاق افتاد. tabase متعلق به مرکز ترمیم چهره (TCFR) در فلوریدا ، ایالات متحده ، در ماه نوامبر سال 2019 مورد هک قرار گرفت. مجرمان سایبری باج افزار را در سرورهای کلینیک کاشتند و خواستار باج برای عدم افشای بیماران شدند. آنها همچنین به طور مستقیم با خواسته های مشابه با بیماران تماس گرفتند.

TCFR قادر به بازیابی پرونده های مسروقه نیست ، معتقد است "قربانی کردن مراجعان گذشته و فعلی می تواند سالها ادامه داشته باشد" و این هک تا 3500 بیمار را تحت تأثیر قرار داده است.

نتیجه مشابه ، در مقیاس بسیار بزرگتر ، می تواند برای مشتری های NextMotion اتفاق بیفتد و بیمارانشان از این پایگاه داده استفاده می کنند ، اگر این شخص از شخص دیگری استفاده کند ، این بانک اطلاعاتی را کشف کرده است.

تأثیر بر روابط ، امور مالی و زندگی شخصی آنها ویران کننده خواهد بود. [19659005] مشاوره از متخصصان

NextMotion اگر این اقدامات امنیتی اساسی را برای محافظت از پایگاه داده خود انجام می داد ، می توانست به راحتی از این نشت جلوگیری کند. اینها شامل می شوند ، اما به این موارد محدود نمی شوند:

  1. تأمین سرورهای خود.
  2. اجرای قوانین دسترسی مناسب.
  3. هرگز سیستمی را که نیاز به تأیید اعتبار نداشته باشد ، به اینترنت باز نکنید.

هر شرکتی می تواند این نسخه را چاپ کند.

برای یک راهنمای عمیق تر درباره نحوه محافظت از مشاغل خود ، راهنمای ما در زمینه تأمین وب سایت و پایگاه داده آنلاین خود را از هکرها بررسی کنید.

تهیه یک سطل باز S3

توجه به این نکته مهم است كه سطل های S3 با سطح باز و با دید عمومی عیب AWS نیست. آنها معمولاً نتیجه خطا توسط صاحب سطل هستند. آمازون دستورالعمل های مفصلی را در اختیار کاربران AWS قرار می دهد تا به آنها کمک کند تا سطل های S3 را ایمن سازند و آنها را به صورت خصوصی حفظ کنند.

در مورد NextMotion ، سریعترین راه برای رفع این خطا این است:

  • تنظیمات سطل S3 را دوباره امن تر کنید.
  • سطل را خصوصی کنید و پروتکل های احراز هویت را اضافه کنید.
  • بهترین روشهای دسترسی و احراز هویت AWS را دنبال کنید.
  • لایه های بیشتری از حفاظت را به سطل S3 خود اضافه کنید تا محدودیت بیشتری داشته باشید که می تواند از هر نقطه ورود به آن دسترسی داشته باشد. [19659079] برای مشتریان NextMotion

    اگر شما مشتری NextMotion هستید و در مورد اینکه چگونه این نقض ممکن است روی شما تأثیر بگذارد نگران هستید ، با NextMotion مستقیماً با تماس بگیرید تا بدانید که چه اقداماتی را انجام می دهند.

    برای بیماران مشتریان NextMotion

    برای تایید اینکه آیا از NextMotion استفاده می کنند با جراح یا کلینیک خود صحبت کنید.

    برای کسب اطلاعات بیشتر در مورد آسیب پذیری و نشت داده ها بطور کلی ، راهنمای کامل ما برای حفظ حریم خصوصی آنلاین را بخوانید.

    مجرمان سایبری بسیاری از کاربران اینترنت را هدف قرار می دهند ، و اقدامات را برای ایمن ماندن می توانید انجام دهید.

    چگونه و چرا ما نقض آن را کشف کردیم

    بخشی از یک پروژه بزرگ نقشه برداری وب. محققان ما از اسکن بندر برای بررسی بلوک های خاص IP استفاده می کنند و سوراخ های باز سیستم را برای نقاط ضعف آزمایش می کنند. آنها هر سوراخی را برای فاش شدن داده ها بررسی می کنند.

    وقتی که یک داده را نقض می کنند ، آنها از تکنیک های تخصصی برای تأیید هویت بانک اطلاعات استفاده می کنند. سپس شرکت نقض را هشدار می دهیم. در صورت امکان ، هر شخص دیگری را که تحت تأثیر این نقض قرار گرفته است نیز آگاه خواهیم کرد.

    تیم ما قادر به دسترسی به این پایگاه داده است زیرا کاملاً نا امن و رمزگذاری نشده است.

    هدف از این پروژه نقشه برداری وب کمک به ایجاد اینترنت است. [برایهمهکاربرانایمنتراست

    به عنوان هکرهای اخلاقی ، ما هنگام کشف اشکالات در امنیت آنلاین آنها ، ما موظفیم به یک شرکت اطلاع دهیم. ما به NextMotion رسیدیم ، نه تنها به آنها درمورد آسیب پذیری آگاهی داد بلکه راه هایی را فراهم آورد که بتوانند سیستم خود را ایمن سازند.

    این اخلاق همچنین به معنای این است که ما مسئولیت وظیفه خود را بر عهده داریم. مشتریان NextMotion و بیمارانشان باید از نقض اطلاعاتی که بر آنها تأثیر می گذارد آگاه باشند.

    ما همچنین هرگز اطلاعاتی را که در طول تحقیقات امنیتی ما با آنها روبرو می شویم ، ذخیره یا ذخیره نمی کنیم.

    درباره ما و گزارش های قبلی

    vpnMentor بزرگترین وب سایت بررسی VPN در جهان است. آزمایشگاه تحقیقاتی ما یک سرویس طرفدار پاداش است که می کوشد در حالی که به سازمانهایی برای محافظت از داده های کاربران خود آموزش می دهد ، به جامعه آنلاین کمک کند تا در برابر تهدیدهای سایبری دفاع کند.

    تیم تحقیقاتی امنیت اخلاقی ما برخی از مهمترین نشت داده ها را کشف و فاش کرده است. سالهای اخیر ، بسیاری از آنها در فرانسه و اروپا.

    این شامل نشت داده های عظیمی در Genius است ، برنامه ای که توسط سرویس پستی فرانسه ساخته شده است. ما همچنین فاش كردیم كه یك شركت متعلق به AccorHotels غول هتل های اروپایی ، حریم خصوصی و امنیت میهمانان هتل در سراسر جهان را به خطر می اندازد. همچنین ممکن است بخواهید گزارش VPN Leak Report و گزارش آمار حفظ حریم خصوصی داده ها را بخوانید.

    توضیحات NextMotion: "ما در 27 ژانویه سال 2020 مطلع شدیم که یک شرکت امنیت سایبر تست هایی را در شرکت های منتخب تصادفی انجام داده است و موفق شده است به سیستم اطلاعات ما دسترسی پیدا کنید آنها توانستند فیلم ها و عکس ها را از پرونده های برخی از بیماران ما استخراج کنند. این داده ها شناسایی شده اند – شناسه ها ، تاریخ تولد ، یادداشت ها ، و غیره – و بنابراین در معرض نمایش نبود.

    این شرکت با تنها هدف برای بررسی امنیت فعالیت می کند و ما را از خطر احتمالی نفوذ هشدار می دهد. ما بلافاصله اقدامات اصلاحی برداشتیم و همین شرکت رسما تضمین کرد که نقص امنیتی کاملاً ناپدید شده است. این حادثه فقط نگرانی مداوم ما را برای محافظت از داده ها و داده های بیمارانتان هنگام استفاده از برنامه Nextmotion تقویت کرد.

    به عنوان یک یادآوری ، تمام داده های شما در فرانسه ، در یک ابر امن پزشکی مطابق با HDS (میزبانی داده های شخصی) ذخیره می شوند. . برنامه و عملکرد مدیریت داده های ما در سال 2018 توسط یک شرکت حقوقی تخصصی GDPR (تنظیم عمومی حمایت از داده ها) مورد بررسی قرار گرفت تا از مطابقت ما با مقررات داده ای که در سال 2019 به اجرا در آمد اطمینان حاصل شود.

    این شرکت همچنین با شرکت تماس گرفت. روزنامه لو پاریسن که امروز صبح با آنها صحبت کردم. احتمالاً در روزهای آینده مقاله مطبوعاتی در رابطه با این موضوع منتشر می شود که می تواند نگرانی های بیماران شما را برانگیزد. ما در کنار شما هستیم که دقیقاً به هر سؤالی که بیماران نگران هستند ممکن است پاسخ دهیم. در صورت تمایل می توانید پیشنهاد كنید كه آنها سؤالات خود را به صورت مكتوب به این آدرس ایمیل برای ما ارسال كنند: [email protected]

    شما باید بدانید كه من شخصاً متعهد به تضمین فن آوری هایی هستیم كه در اختیار شما قرار می دهم.

    عذرخواهی صمیمانه از این واقعه خوشبختانه جزئی. "