法國整型外科技術供應商外洩10萬張病患資料

一家專門評測全球VPN服務的vpnMentor在上周揭露了一起驚人的資料外洩事件,因為這次外洩資料的是法國的整型外科技術供應商NextMotion,缺乏存取安全機制的NextMotion資料庫內含90萬個檔案,其中有10萬張屬於病患的圖片,可能是人臉、胸部或私密處等整型部位。

總部位於法國的NextMotion是由一群整型外科醫生在2015年所設立,該公司專門提供數位與先進的技術工具,以協助外科整型診所提供整型前/後(before & after)的評估影像,還強調可簡化診所的資料管理與改善診所的電子聲譽,全球有35個國家的170家整型外科診所,採用NextMotion的服務。

諷刺的是,vpnMentor在掃描全球網路並檢查特定的IP區塊時,在Amazon S3上發現了此一毫無防備的資料庫,該可公開存取的資料庫存放了90萬個檔案,包括治療收據、治療方案、病患的檔案照片、360度的身體與臉部掃描影片等。

上述檔案含有10萬張圖片,多半為整型部位的照片,像是臉部、胸部或私密處。

vpnMentor指出,此一外洩事件嚴重危及病患的隱私,患者可能因此遭到身分竊盜、被詐騙,或是被攻擊與勒索。

此外,儘管外洩的資料庫存放在Amazon S3儲存庫,但vpnMentor認為這並非是Amazon Web Services(AWS)的缺失,而是該儲存庫所有人的過錯,AWS對於如何保障S3的安全提供了詳細的說明。

此外,vpnMentor認為類似的錯誤很容易就能解決,包括變更S3的設定、關閉儲存庫的公開存取能力並添加認證機制、遵循Amazon S3所提供的最佳實作,以及在S3儲存庫上新增其它的保護層。

vpnMentor是在1月24日發現該資料庫,在27日通知NextMotion,30日通知AWS,NextMotion則在2月5日關閉了該資料庫。

儘管NextMotion說明檔案中的照片或影片,都未列出病患名字或生日等資訊,但有些照片及影片有清楚的人臉,而且病患名字也在收據中曝光,而NextMotion執行長Emmanuel Elard 則在聲明中表示,他對這起不幸的「小意外」(minor incident)感到很抱歉。

外界認為,這個小意外不只會影響NextMotion的聲譽,還可能替NextMotion及所服務的診所客戶帶來官司。

原文來自 iThome Online