Sélectionner une page

Base de données contenant des photos de chirurgie plastique sensible exposées en ligne

Beaucoup d’autres images de chirurgie étaient non seulement sensibles mais aussi très graphiques. Notre équipe a regardé des photos en gros plan des seins et des organes génitaux exposés des femmes », ont déclaré les chercheurs en sécurité Noam Rotem et Ran Locar

 

Des milliers de patients en chirurgie plastique ont vu leurs photos avant et après exposées accidentellement sur Internet à cause d’un serveur non protégé.

Comme les chercheurs Noam Rotem et Ran Locar l’ont révélé aujourd’hui, la base de données ouverte contenait près de 900 000 fichiers sur des patients de chirurgie plastique, probablement du monde entier. « Il s’agissait notamment d’images hautement sensibles, de fichiers vidéo et de documents relatifs à la chirurgie plastique, aux traitements dermatologiques et aux consultations », ont écrit les chercheurs dans un post sur vpnMentor, un site d’examen du VPN.

Rotem et Locar ont rapidement récupéré la base de données auprès de la société française NextMotion, qui propose une plateforme logicielle « tout-en-un » pour aider les cliniques de chirurgie plastique à gérer leurs patients. La société compte parmi ses clients plus de 170 cliniques dans 35 pays. Mais pour une raison quelconque, NextMotion a stocké toutes les informations recueillies dans un seau de stockage en ligne Amazon Web Services S3 sans protection par mot de passe.

Il n’est pas clair si quelqu’un d’autre a trouvé la base de données ouverte. Mais entre de mauvaises mains, les informations exposées auraient pu être utilisées de manière abusive pour exercer un chantage sur les patients concernés.

« Beaucoup d’autres images n’étaient pas seulement sensibles mais aussi très graphiques. Notre équipe a regardé des photos en gros plan des seins et des organes génitaux exposés des femmes, y compris des images prises immédiatement après une procédure chirurgicale », ont écrit les chercheurs. « La diffusion de telles photos dans le domaine public serait dévastatrice pour les femmes concernées ».

Les chercheurs ont découvert la base de données exposée le mois dernier dans le cadre d’un « projet de cartographie web ». Ils ont ensuite fait part de leurs conclusions à NextMotion, qui a depuis sécurisé la base de données.

« Nous avons immédiatement pris des mesures correctives et cette même entreprise a formellement garanti que la faille de sécurité avait complètement disparu », a écrit Emmanuel Elard, PDG de NextMotion, dans une déclaration sur le site web de l’entreprise. On ignore pourquoi la base de données n’a pas été sécurisée. Elard l’a dit à PCMag : « Nous sommes toujours en train d’enquêter en interne sur ce qui pourrait se passer pour mener à cette exposition de données. En ce moment, nous avons commencé une analyse approfondie et un audit de nos processus de sécurité avec une société certifiée ».

RELATIVES

*Mysterious User Hoarded Records on 1.2B People Via Leaky Database
*La « collection n°1 » révèle un nombre record de 773 millions d’adresses électroniques
*Le forum de Pornographie Brazzers a été piraté et les données des utilisateurs ont été exposées

Malheureusement, ce ne sera probablement pas la dernière fois que vous entendrez parler d’une base de données qui divulguerait accidentellement des informations sensibles sur Internet. De nombreuses entreprises s’appuient sur des serveurs en nuage pour stocker facilement des informations, mais elles font souvent l’erreur de ne pas sécuriser leurs serveurs.

« NextMotion aurait pu facilement éviter cette fuite si elle avait pris quelques mesures de sécurité de base pour protéger sa base de données », ont écrit Rotem et Locar. Ils recommandent à toutes les entreprises de procéder à une double vérification et de s’assurer que leurs serveurs sont sécurisés.