تم اكتشاف مئات الآلاف من السجلات الخاصة بمرضى جراحات التجميل موجودة على خادم غير محمي، ويمكن لأي شخص مشاهدتها، حيث تم تخزين البيانات التابعة لشركة NextMotion على قاعدة بيانات أمازون ويب سيرفيسز، وهي شركة لتكنولوجيا جراحات التجميل، توفر حلول التصوير الطبي للعيادات في جميع أنحاء العالم.
تمكن الباحثون في vpnMentor الذين اكتشفوا التسريب من الوصول إلى حوالي 900000 سجل فردي، تتراوح بين صور ومقاطع فيديو لما قبل عمليات التجميل وما بعدها، ولمواد ذات طبيعة حساسة للغاية، بما في ذلك الصور الرسومية لأجزاء الجسم الخاصة بالمرضى، لكن أصل السجلات غير واضح، ولكن يمكن بسهولة معرفة أن المقاطع والصور المسربة تعود لعملاء NextMotion.
وبالإضافة إلى صور الوجه والجسم للمريض، تضمنت مجموعة المعلومات الفواتير، وخطوات العلاجات المقترحة، وملفات الفيديو لفحص الوجه والجسم بزاوية 360 درجة، وتفاصيل الفواتير، والإجراءات الطبية التفصيلية وتكاليفها، والتواريخ التي أُجريت فيها، والمعلومات الشخصية التي يمكن أن تساعد في التعرف على المرضى.
يمكن أن تسمح البيانات للمتسللين بجمع صورة شاملة للضحايا، وهنا يصبح المريض عرضة لكشف هويته، ويكون هدفًا لسرقة هويته، أو للتصيد والخداع، أو الاحتيال المالي، أو حتى الابتزاز الجنسي، حيث يستخدم المجرمون ملفات حساسة للمطالبة بفدية.
واعتذر الرئيس التنفيذي لشركة NextMotion د. (إيمانويل إيلارد)، مضيفًا أن المشكلة قد تمت معالجتها، وقال: “أمازون ويب سيرفيسز حذرتنا في 30 يناير، وبعد مناقشات داخلية مع فريق دعم أمازون، اتخذنا على الفور خطوات تصحيحية في الرابع من فبراير، وأكدت شركة الأمن السيبراني رسميًا أن العيوب الأمنية قد اختفت تمامًا”.
نظرًا لوجود مقر شركة NextMotion في فرنسا وتقديمها لخدماتها ضمن الاتحاد الأوروبي، فهي خاضعة للائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR).
وعلى الرغم من أن موقع الويب الخاص بالشركة يؤكد بأنه معتمد من اللائحة الأوروبية إلا أنها فشلت في تأمين البيانات الحساسة للمرضى، مما قد يؤدي لعقوبات صارمة وإجراءات قانونية.
أصبحت مجموعات البيانات التي تم تكوينها بشكل غير صحيح وغير مضمون أمرًا شائعًا، ففي إحدى الحالات الأخيرة، تم تخزين الآلاف من طلبات شهادات الميلاد بدون حماية على منصة سحابة AWS، بينما أثر تسرب بيانات آخر على جميع مواطني الإكوادور تقريبًا، وهذه التسريبات غير المقصودة لها تأثيرها الكبير، وهناك أيضًا حالات استهدفَ مجرمو الإنترنت فيها أماكنَ مثل عيادات الجراحة التجميلية، مثل عيادة معروفة في لندن.
بقلم: عامر عويضه، الكاتب في أمن المعلومات لدى شركة إسيت ESET.
