Các nhà nghiên cứu từ vpnMentor đã phát hiện ra một cơ sở dữ liệu không được bảo mật đã để lộ các thông tin nhạy cảm của người dùng. Theo báo cáo, họ đã phát hiện ra một bucket S3 (dịch vụ lưu trữ dữ liệu của AWS) không được bảo vệ có chứa hàng ngàn hình ảnh phẫu thuật thẩm mỹ của bệnh nhân. Sau khi tiến hành điều tra thì nhận được kết quả cơ sở dữ liệu trên thuộc về NextMotion, một công ty thẩm mỹ của Pháp.

>>> Đọc thêm về Lỗi bảo mật khi cấu hình S3 buckets của nhiều doanh nghiệp – Chuyên gia Nguyễn Hữu Trung, CTO CyStack Việt Nam.

Lộ ảnh các bộ phận nhạy cảm của khách hàng phẫu thuật thẩm mỹ

Cụ thể, có khoảng 900.000 hình ảnh thấy rõ khuôn mặt của bệnh nhân. Có một số trường hợp còn thấy rõ hình ảnh các bộ phận cơ thể đang điều trị bao gồm cả các bộ phận riêng tư của khách hàng.

Ngoài những hình ảnh nhạy cảm này, cơ sở dữ liệu còn tiết lộ những thông tin liên quan khác. Các nhà nghiên cứu cho biết “Nhóm của chúng tôi đã tìm được gần 900.000 tệp riêng lẻ. Chúng bao gồm các hình ảnh, tệp video và giấy tờ riêng tư liên quan đến phẫu thuật thẩm mỹ, điều trị da liễu và tư vấn được thực hiện bởi các phòng khám sử dụng công nghệ từ NextMotion”.

Ngoài ra, các nhà nghiên cứu cũng tìm thấy các tệp video quét, phác thảo cho các phương pháp điều trị được đề xuất và các hóa đơn tương ứng.

NextMotion đã xác nhận sự cố này.

Khi phát hiện ra gói cơ sở dữ liệu không được bảo mật, các nhà nghiên cứu đã thông báo cho NextMotion về vụ việc và ngay sau đó họ đã giải quyết lỗi lầm. Gần đây, công ty cũng đã xác nhận vụ việc đồng thời đưa ra lời đảm bảo sẽ đưa ra phương án giải quyết vấn đề này trong một thông cáo báo chí.

Họ cũng giải thích rằng cơ sở dữ liệu bị lộ chỉ bao gồm các tệp phương tiện còn cơ sở dữ liệu của bệnh nhân vẫn không bị ảnh hưởng.

Thông tin cá nhân của khách hàng không bị lộ

Các hình ảnh của bệnh nhân đang được lưu trữ trong một cơ sở dữ liệu khác, tách biệt với cơ sở dữ liệu dữ liệu cá nhân (tên, ngày sinh, ghi chú, v.v.). Vậy nên, chỉ có cơ sở dữ liệu như hình ảnh, video bị lộ, cơ sở dữ liệu bệnh nhân vẫn an toàn.

NextMotion cũng đảm bảo thực hiện các bước khắc phục sự cố này và được các chuyên gia công nhận sự cố gắng giải quyết vấn đề.

Giám đốc điều hành NextMotion, Tiến sĩ Emmanuel Elard, cũng giải thích rằng các cuộc điều tra đang được tiến hành. Tuy nhiên, họ vẫn không trả lời bất kỳ câu hỏi nào từ bệnh nhân về vấn đề này.

Quỳnh Thảo, theo TheHackerNews

The post Không bảo mật cơ sở dữ liệu, một công ty thẩm mỹ làm lộ ảnh phẫu thuật của khách hàng appeared first on SecurityDaily.