صور خاصة لمرضى جراحات التجميل تم عرضها على الإنترنت

تم اكتشاف مئات الآلاف من السجلات الخاصة بمرضى جراحات التجميل موجودة على خادم غير محمي ويمكن لأي شخص مشاهدتها، حيث تم تخزين البيانات التابعة لشركة NextMotion على قاعدة بيانات أمازون ويب سيرفيسز، وهي شركة لتكنولوجيا جراحات التجميل توفر حلول التصوير الطبي للعيادات في جميع أنحاء العالم.

تمكن الباحثون في vpnMentor الذين اكتشفوا التسريب من الوصول إلى حوالي 900000 سجل فردي، تتراوح بين صور ومقاطع فيديو لقبل و بعد عمليات التجميل والمواد ذات الطبيعة الحساسة للغاية، بما في ذلك الصور الرسومية لأجزاء الجسم الخاصة بالمرضى، لكن أصل السجلات غير واضح ولكن يمكن التعرف بسهولة بأن المقاطع والصور المسربة تعود لعملاء NextMotion.

وبالإضافة إلى صور الوجه والجسم للمريض، تضمنت مجموعة المعلومات الفواتير، خطوات العلاجات المقترحة، وملفات الفيديو لفحص الوجه والجسم بزاوية 360 درجة، وتفاصيل الفواتير والإجراءات الطبية التفصيلية وتكاليفها، والتواريخ التي أجريت فيها، والمعلومات الشخصية التي يمكن أن تساعد في التعرف على المرضى.

يمكن أن تسمح البيانات للمتسللين بجمع صورة شاملة للضحايا، وهنا يصبح المريض عرضة لكشف هويته ويكون هدفًا لسرقة هويته أو للتصيد والخداع أو الاحتيال المالي أو حتى الابتزاز الجنسي، حيث يستخدم المجرمون ملفات حساسة للمطالبة بفدية.

واعتذر الرئيس التنفيذي لشركة NextMotion د. إيمانويل إيلارد، مضيفًا أن المشكلة قد تمت معالجتها، وقال: “أمازون ويب سيرفيسز حذرتنا في 30 يناير، وبعد مناقشات داخلية مع فريق دعم أمازون، اتخذنا على الفور خطوات تصحيحية في الرابع من فبراير، وأكدت شركة الأمن السيبراني رسميًا أن العيوب الأمنية قد اختفت تمامًا”.

نظرًا لوجود مقر شركة NextMotion في فرنسا وتقديمها لخدماتها ضمن الاتحاد الأوروبي، فهي خاضعة للائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR). 

وعلى الرغم من أن موقع الويب الخاص بالشركة يؤكد بأنه معتمد من اللائحة الأوروبية إلا أنها فشلت في تأمين البيانات الحساسة للمرضى مما قد يؤدي لعقوبات صارمة وإجراءات قانونية.

أصبحت مجموعات البيانات التي تم تكوينها بشكل غير صحيح والغير مضمونة أمرًا شائعًا، ففي إحدى الحالات الأخيرة، تم تخزين الآلاف من طلبات شهادات الميلاد بدون حماية على منصة سحابة AWS، بينما أثر تسرب بيانات آخر على جميع مواطني الإكوادور تقريبًا، وهذه التسريبات الغير مقصودة لها تأثيرها كبير، وهناك أيضًا حالات استهدف مجرمي الإنترنت فيها أماكن مثل عيادات الجراحة التجميلية، مثل عيادة معروفة في لندن.

بقلم عامر عويضه، الكاتب في أمن المعلومات لدى شركة إسيت ESET