פרצת אבטחה: נחשפו תמונות של מטופלים שעברו ניתוחים פלסטיים
צוות חוקרי סייבר ישראלים חשפו פרצת אבטחה במערכות של חברת NextMotion הצרפתית; המידע דלף מתיקייה לא מאובטחת בשירות הענן של אמזון, שכללה 900 אלף קבצים, ובהם תמונות וסרטונים של מטופלים ומסמכים רפואיים
פרצת אבטחה במערכות של חברת NextMotion, שמספקת תוכנה למרפאות הפלסטיות בכל העולם, חשפה פרטים רגישים, ובראשם 100 אלף תמונות של מטופלים לפני ואחרי טיפול - כך חושף צוות חוקרי סייבר ישראלים של אתר vpnMentor, בהובלת ההאקרים נעם רותם ורן לוקאר. הדיווח מתפרסם אחרי שפרצת האבטחה תוקנה.
- סימנס מודה: פרצת אבטחה חמורה מסכנת את לקוחותינו בעולם
- חוקרים ישראלים זיהו פרצת אבטחה במוצר נפוץ של אינטל
- זוהתה פרצת אבטחה בווטסאפ שאיפשרה להאקרים לתקוף צ'טים בקבוצות
"הקלות בה חושפים בעלי מערכות רפואיות מידע פרטי ורגיש אודות לקוחותיהם מרתיחה", אמר רותם לכלכליסט. "העובדה שאין אף גוף עם יכולות ניטור ואכיפה של סטנדרטים בתחום אבטחת המידע היא מחדל שיש לתקן בהקדם".
NextMotion נוסדה ב-2015 בצרפת על ידי קבוצה של מנתחים פלסטיים, במטרה לספק כלי טכנולוגיה מתקדמים להדמיית טיפולים וניהול מידע. נכון ל-2019, התוכנה של החברה היתה בשימוש של 170 מרפאות ב-35 מדינות, והיא תכננה להשקיע מיליון יורו בהמשך ההתרחבות העולמית. הפרצה זוהתה ב-24 בינואר ודווחה לחברה שלושה ימים לאחר מכן, ואולם תוקנה רק ב-5 בפברואר.
המידע הרגיש דלף מתיקייה לא מאובטחת בשירות הענן של אמזון, שאליה שמרה התוכנה של NextMotion מידע שהעלו המרפאות השונות. בסך הכל מצאו החוקרים בתיקייה 900 אלף קבצים שונים, ובהם תמונות פנים, פרופיל וגוף של מטופלים, סרטונים 360 מעלות של גוף המטופל, מסמכים רפואיים על ניתוח וטיפולים דרמטולוגיים, תוכניות טיפול מפורטות וקבלות. כך, למשל, נמצאו בין השאר פירוט של טיפול השתלת שיער שהזמין מטופל, צילומי מטופלת לפני ואחרי ניתוח להסרת צלקת מהפנים, ותמונות של שדיים ואברי מין.
"הפצת תמונות כאלו בפומבי יכולה להיות הרסנית לנשים שמופיעות בהן", כתבו החוקרים בפוסט שמסכם את ממצאיהם. "בשלב זה מקור התמונות שבמאגר המידע אינו ברור, מכיוון שמצורף להן רק מידע מועט. אך הדליפה השפיעה כנראה על לקוחות NextMotion (והמטופלים שלהם) בכל העולם". המסמכים שנחשפו, מנגד, כללו מידע אישי מזהה על המטופלים, שיכול לשמש בהונאות ומתקפות מקוונות.
הדליפה מעוררת חשש אמיתי לפרטיות ולביטחון המטופלים: "אם פושעי סייבר ניגשו למאגר המידע הזה, הם יכולים לאיים על מטופלים (או מרפאות) בהפצת הקבצים. המידע המזהה של המטופלים יכול לשמש לגניבת זהות, מתקפות פישינג והונאה פיננסית".
אף שהאשם בדליפת המידע נופל על כתפי NextMotion, בהשלכות המידיות צפויות לשאת המרפאות שעבדו אתה, שיספגו ישירות כל תגובה שלילית מצד מטופליהן. "הדבר עלול להביא לאבדן הכנסות, והמרפאות עלולות לספוג תביעה משפטית בטענה שהאחריות לדליפה מוטלת על כתפיהן", העריכו החוקרים.
מ- NextMotion נמסר במכתב ששלחה ללקוחותיה שבמסגרת הדליפה נחשף מידע שלא כלל פרטים מזהים (חרף העובדה שהמידע שהציגו חוקרי vpnMentor כלל גם פרטים מזהים של מטופלים). "נקטנו את הצעדים הדרושים וכשלי האבטחה נעלמו לחלוטין", נכתב. "התקרית הזו רק חיזקה את הדאגה המתמשכת שלנו להגן על מידע באפליקציה. אנחנו מחויבים לאבטחת הטכנולוגיות שלנו".