صور مرضى جراحات تجميل وعرضها على الإنترنت

  •        بقلم "عامر عويضة"

         الكاتب في أمن المعلومات لدى شركة "إسيت" ESET

     

    تم اكتشاف مئات الآلاف من السجلات الخاصة بمرضى الجراحات التجميلية موجودة على خادم غير محمي ويمكن لأي شخص مشاهدتها. تم تخزين البيانات التابعة لشركة NextMotion على قاعدة بيانات " أمازون ويب سيرفيسز" (AWS)S3، وهي شركة لتكنولوجيا جراحات التجميل توفر حلول التصوير الطبي للعيادات في جميع أنحاء العالم.

    تمكن الباحثون في vpnMentor الذين اكتشفوا التسريب، من الوصول إلى حوالي 900000 سجل فردي. تتراوح بين صور ومقاطع فيديو لقبل وبعد عمليات التجميل والمواد ذات الطبيعة الحساسة للغاية، بما في ذلك الصور الرسومية لأجزاء الجسم الخاصة بالمرضى. أصل السجلات غير واضح ولكن يمكن التعرف بسهولة بأن المقاطع والصور المسربة تعود لعملاء NextMotion.

    وبالإضافة إلى صور الوجه والجسم للمريض، تضمنت مجموعة المعلومات الفواتير، خطوات العلاجات المقترحة، وملفات الفيديو لفحص الوجه والجسم بزاوية 360 درجة. تفاصيل الفواتير والإجراءات الطبية التفصيلية وتكاليفها، والتواريخ التي أجريت فيها، والمعلومات الشخصية التي يمكن أن تساعد في التعرف على المرضى.

    يمكن أن تسمح البيانات للمتسللين بجمع صورة شاملة للضحايا. وهنا يصبح المريض عرضة لكشف هويته ويكون هدفًا لسرقة هويته أوللتصيد والخداع أو الاحتيال المالي أو حتى الابتزاز الجنسي، حيث يستخدم المجرمون ملفات حساسة للمطالبة بالفدية.

    وأعتذر الرئيس التنفيذي لشركة NextMotion د. إيمانويل إيلارد، مضيفًا أن المشكلة قد تمت معالجتها، وقال: "أمازون ويب سيرفيسز حذرتنا في 30 يناير. وبعد مناقشات داخلية مع فريق دعم أمازون، اتخذنا على الفور خطوات تصحيحية في الرابع من فبراير. وأكدت شركة الأمن السيبراني رسميًا أن العيوب الأمنية قد اختفت تمامًا ".

    نظرًا لوجود مقر شركة NextMotion في فرنسا وتقديمها لخدماتها ضمن الاتحاد الأوروبي، فهي خاضعة للائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) . وعلى الرغم من أن موقع الويب الخاص بالشركة يؤكد بأنه معتمد من اللائحة الأوروبية إلا أنها فشلت في تأمين البيانات الحساسة للمرضى مما قد يؤدي لعقوبات صارمة وإجراءات قانونية.

    أصبحت مجموعات البيانات التي تم تكوينها بشكل غير صحيح وغير المضمونة أمرًا شائعًا. في إحدى الحالات الأخيرة، تم تخزين الآلاف من طلبات شهادات الميلاد بدون حماية على منصة سحابة AWS، بينما أثر تسرب بيانات أخرى على جميع مواطني الإكوادور تقريبًا. وهذه التسريبات غير المقصودة لها تأثيرها الكبير. وهناك أيضًا حالات استهدف مجرمو الإنترنت فيها أماكن مثل عيادات الجراحة التجميلية، مثل عيادة معروفة في لندن.

     

     



    حمّل تطبيق Alamrakamy| عالم رقمي الآن