一家专门评测全球VPN服务的vpnMentor在上周披露了一起惊人的数据外泄事件,因为这次外泄数据的是法国的整型外科技术供应商NextMotion,缺乏访问安全机制的NextMotion数据库内置90万个文件,其中有10万张属于病患的图片,可能是人脸、胸部或私密处等整型部位。
总部位于法国的NextMotion是由一群整型外科医生在2015年所设立,该公司专门提供数字与先进的技术工具,以协助外科整型诊所提供整型前/后(before & after)的评估图片,还强调可简化诊所的数据管理与改善诊所的电子声誉,全球有35个国家的170家整型外科诊所,采用NextMotion的服务。
讽刺的是,vpnMentor在扫描全球网络并检查特定的IP区块时,在Amazon S3上发现了该毫无防备的数据库,该可公开访问的数据库存放了90万个文件,包括治疗收据、治疗方案、病患的文件照片、360度的身体与脸部扫描视频等。
上述文件含有10万张图片,多半为整型部位的照片,像是脸部、胸部或私密处。
vpnMentor指出,该外泄事件严重危及病患的隐私,患者可能因此遭到身份窃盗、被诈骗,或是被攻击与勒索。
此外,尽管外泄的数据库存放在Amazon S3存储库,但vpnMentor认为这并非是Amazon Web Services(AWS)的缺失,而是该存储库所有人的过错,AWS对于如何保障S3的安全提供了详细的说明。
此外,vpnMentor认为类似的错误很容易就能解决,包括变更S3的设置、关闭存储库的公开访问能力并添加认证机制、遵循Amazon S3所提供的最佳实例,以及在S3存储库上添加其它的保护层。
vpnMentor是在1月24日发现该数据库,在27日通知NextMotion,30日通知AWS,NextMotion则在2月5日关闭了该数据库。
尽管NextMotion说明文件中的照片或视频,都未列出病患名字或生日等信息,但有些照片及视频有清楚的人脸,而且病患名字也在收据中曝光,而NextMotion首席执行官Emmanuel Elard则在声明中表示,他对这起不幸的“小意外”(minor incident)感到很抱歉。
外界认为,这个小意外不只会影响NextMotion的声誉,还可能替NextMotion及所服务的诊所客户带来官司。