Massives Datenleck bei französischer Firma NextMotion, aktiv im Bereich Schönheitschirurgie

[English]Sicherheitsforscher sind bei der französischen Firma NextMotion, einem Technologieunternehmen für plastische Chirurgie, auf ein massives Datenleck gestoßen. Eine kompromittierte Datenbank enthielt 100.000 Profilbilder und persönliche (sowie intime) Daten von Patienten, die sich Schönheitsoperationen bei Chirurgen unterzogen haben. Die Informationen sind mir direkt von vpnmentor zugegangen. NextMotion hat das Datenleck bestätigt.


Anzeige

NextMotion ist ein Technologieunternehmen, das Kliniken, die in der Dermatologie, Kosmetik und plastischen Chirurgie arbeiten, mit digitalen Foto- und Videogeräten für ihre Patienten versorgt. Das Unternehmen hat seinen Sitz in Frankreich und wurde 2015 von einem Team plastischer Chirurgen gegründet, um Kliniken folgende Leistungen anzubieten:

digitale und innovative Technologie-Tools, die helfen, die Probleme vor und nach der Schönheitsoperation zu lösen, Ihre Patienten zu beruhigen, Ihr Datenmanagement zu vereinfachen und Ihren Ruf zu verbessern.

Das Unternehmen ist schnell gewachsen. Im Jahr 2019 erreichte es eine globale Präsenz in 170 Kliniken in 35 Ländern und einer Investition von 1 Million Euro für die weitere globale Expansion. Das folgende Video gibt einen Eindruck von ihrer Arbeit.

(Source: YouTube)

Die Leute schreiben: Erfüllen Sie den neuen Standard im ästhetischen Prozessmanagement. Nextmotion ist die beste Lösung für die Durchführung einer 100%ig zusammenhängenden ästhetischen Aktivität. Erstellen Sie dynamische, standardisierte Videos, verwalten Sie Ihre täglichen Aktivitäten und lernen Sie Ihre Patienten kennen.

Sie bieten der Kundschaft ein "Portfolio in der Cloud" an, so dass Schönheitschirurgen ständig Zugang zu den besten Daten von Vorher/Nachher Aufnahmen bei Schönheitsoperationen haben. So kann man der Kundin quasi am Tablet zeigen, was da mit dem Skalpell machbar ist. Und die Firma verspricht den Kunden, dass sie eine 'sichere medizinische Cloud' zur Speicherung der Daten verfügbar haben.

Nextmotion advertising
(Screenshot Nextmotion-Werbung im Web)

Dieses Technologieunternehmen arbeitet also in einem sehr sensiblen Bereich, in dem die Daten der Patienten sicher gespeichert werden müssen. Das wird auch an allen Stellen immer wieder betont.

Das Unternehmen brüstet sich auf seiner Webseite, dass alle Standards, von DSGVO bis hin zu medizinischen Auflagen eingehalten werde. Ist aber alles Schall und Rauch.

Das Datenleck

Ein Team von Sicherheitsforschern von vpnmentor unter der Leitung von Noam Rotem und Ran Locar entdeckte am 24. Januar 2020 eine offene Datenbank eines Unternehmens. Die Datenbank war nach dem Unternehmen benannt war, konnte Team schnell das Technologieunternehmen NextMotion als den potenziellen Eigentümer identifizierten.


Anzeige

NextMotion benutzte eine Amazon Web Services (AWS) S3 bucket-Datenbank, um Fotos, Videos und andere Daten (Rechnungen etc.) von Patienten zu speichern, ließ diese Datenbank jedoch völlig ungesichert. Und dies, obwohl NextMotion auf ihrer Website großspurig schreibt, dass:

"Alle Ihre Daten sind 100% sicher, in der medizinischen Cloud, gespeichert sind und dies den neuesten Vorschriften für die Speicherung von Gesundheitsdaten in Ihrem Land entspreche (GDPR, HIPAA, ISO usw.)."

Das Sicherheitsteam von vpnmentor hatte allerdings Zugriff auf fast 900.000 Einzeldateien. Diese Dateien umfassen hochsensible Bilder, Videodateien und Unterlagen zu plastischer Chirurgie, dermatologischen Behandlungen und Beratungen, die von Kliniken mit der NextMotion-Technologie durchgeführt wurden. Die privaten persönlichen Benutzerdaten, die die Sicherheitsforscher eingesehen haben, umfassten:

  • Rechnungen für Behandlungen
  • Skizzen für vorgeschlagene Behandlungen
  • Videodateien, einschließlich 360-Grad-Scans von Körper und Gesicht
  • Fotos (Profilaufnahmen) des Gesichts als auch des Körpers

In der folgenden Übersicht werden die verschiedenen plastisch-chirurgischen Eingriffe eines Patienten mit den damit verbundenen Kosten und Terminen dargestellt.

 plastic surgery procedures patient's data
(Source: vpnmentor)

Im Folgenden finden Sie Beispiele von Patienten, die sich auf Eingriffe im Gesicht vorbereiten. Dazu gehören auch Screenshots, die das Sicherheitsteam von den angesehenen Videos gemacht hat. Die Bilder wurden aus Gründen des Datenschutzes von den Sicherheitsforschern gepixelt.

examples of patients preparing for procedures

Viele weitere Bilder waren nicht nur sensibel, sondern auch sehr intim. Das Team fand in der Datenbank Nahaufnahmen von nackten Brüste und Genitalien von Frauen, darunter auch Bilder, die unmittelbar nach einem chirurgischen Eingriff aufgenommen wurden.

Die Herkunft der Fotos und Dateien in der Datenbank ist zum Zeitpunkt der Erstellung dieses Artikels nicht klar, da sie nur wenige Informationen enthalten. Dieses Datenleck betrifft möglicherweise NextMotion-Kunden (Chirurgen und deren Patientinnen) auf der ganzen Welt. Die Veröffentlichung solcher Fotos wäre für die betroffenen Frauen/Patienten verheerend.

Die offengelegten Unterlagen und Rechnungen enthielten auch Daten von Patienten, die persönliche Informationen (PII) enthalten. Diese Art von Daten kann dazu verwendet werden, um Personen für eine Vielzahl von Betrügereien und Online-Angriffen ins Visier zu nehmen. Die Datenbank von NextMotion stellte ein echtes Risiko für die betroffenen Personen dar, mit weitreichenden Auswirkungen auf die Privatsphäre und die Sicherheit aller Beteiligten.

Die Auswirkungen dieses Datenlecks

Angesichts des hochsensiblen (intimen) und persönlichen Charakters der Dateien innerhalb der exponierten Datenbank – die sich auf medizinische Verfahren, die Finanzen der Patienten beziehen und grafische Bilder enthalten – ist es eine Katastrophe für NextMotion, und die Betroffenen. Das Unternehmen hätte mehr tun müssen, um diese Informationen abzusichern (z.B. verschlüsselt abzuspeichern). NextMotion war sich dieser sensiblen Natur der gespeicherten Daten klar bewusst. Auf der Website des Unternehmens wird wiederholt auf die verschiedenen staatlichen Vorschriften und Datenschutzgesetze hingewiesen, die sie angeblich einhalten ("GDPR/DSGVO, HIPPA, ISO, etc.").

Trotz ihrer Bemühungen scheinen sie es versäumt zu haben, die Daten der Menschen zu schützen, die ihre Technologie nutzen. Dadurch haben sie eine Vielzahl potenzieller Probleme geschaffen. vpnmentor schreibt:

Der Datenschutz ist nicht nur für Unternehmen, die in der Medizinbranche tätig sind, ein kritisches Geschäftsproblem. Es gibt ernsthafte rechtliche Aspekte. Durch die Offenlegung von Patientenakten, Bildern und PII könnte NextMotion für rechtliche Schritte durch die Patienten selbst oder durch Aufsichtsbehörden in den Ländern, in denen sie tätig sind, haftbar gemacht werden.

Da NextMotion seinen Sitz in Frankreich hat, fällt es in die Zuständigkeit der EU und der DSGVO. NextMotion ist sich dessen bewusst – das Unternehmen behauptet, "100% DSGVO- und Gesundheitsdaten-konform" zu sein. NextMotion darf also mit Bußgeldern sowie weiteren rechtlichen Schritten gemäß DSGVO rechnen.

Wenn die Kliniken nicht darauf vertrauen können, dass NextMotion die Daten ihrer Patienten sicher aufbewahren kann, werden sie zögern, die Technologie des Unternehmens zu nutzen. Dies könnte dazu führen, dass NextMotion bestehende Kunden verliert und ihre geplante Expansion in neue Märkte beeinträchtigt wird. Viele weitere Implikationen könnten im Blogbeitrag von vpnmentor (Englisch) nachgelesen werden.

Nachdem NextMotion am 27.01.2020 von den Sicherheitsforschern kontaktiert wurde, dauerte es bis zum 11. Februar 2020, bis eine Antwort kam. Hier ist der von vpnmentor veröffentlichte Zeitplan:

  • Entdeckung: 24/01
  • Kontaktaufnahme mit den Anbietern: 27/01
  • Kontakts mit AWS: 30/01
  • Aktion des Anbieters: 5/02
  • Antwort der Firma: 11/02

NextMotion bestätigt den Datenschutzvorfall

Ergänzung: Bei solchen Vorfällen ist immer unklar, ob es nur eine Behauptung eines Sicherheitsforschers ist. Ich wollte daher die Presseabteilung von NextMotion wegen einer Stellungnahme anfragen und bin auf deren nachfolgende Presseerklärung gestoßen:

We were informed on January 27, 2020, that a cybersecurity company had undertaken tests on randomly selected companies and had managed to access our information system. They were able to extract videos and photos from some of our patients' files. This data had been de-identified – identifiers, birth dates, notes, etc. – and thus was not exposed.

This company operates with the only goal to check security and alerted us of a potential risk of intrusion. We immediately took corrective steps and this same company formally guaranteed that the security flaw had completely disappeared. This incident only reinforced our ongoing concern to protect your data and your patients' data when you use the Nextmotion application.

As a reminder, all your data is stored in France, in a secure HDS (personal data hosting) compliant medical cloud. Our application and our data management practice were audited in 2018 by a GDPR (General Data Protection Regulation) specialized law firm, in order to ensure our compliance with the data regulation which came into effect in 2019.

This company also contacted press. Articles on this topic will probably be published in the coming days, which could raise concerns with your patients. We stand by you to answer precisely any questions worried patients may have. You can if you wish suggest they send us their questions in writing at this email address : securite@nextmotion.net

You must know that I am personally committed to securing the technologies we make available to you.

Please accept my sincere apologies for this fortunately minor incident.

Dr Emmanuel ELARD,
CEO of NextMotion

Der Vorfall wird also bestätigt. Wo es eine erhebliche Diskrepanz gibt, ist die Bewertung des Vorfalls und der Umfang der zugreifbaren Daten aus den Patientenakten. Der CEO von NextMotion schreibt:

They were able to extract videos and photos from some of our patients' files. This data had been de-identified – identifiers, birth dates, notes, etc. – and thus was not exposed.

Er gesteht also zu, dass die Leute von vpnmentor auf Videos und Fotos von 'einigen der Patienten' zugreifen konnten. Dem steht die Aussage von 900.000 Dateien, die zugreifbar waren, entgegen. Auch wird behauptet, dass die Daten de-identifiziert worden seien (sprich: Die persönlichen Daten der Patienten wären nicht dabei gewesen und die Leute seien nicht identifizierbar). Da stehen die Informationen von vpnmentor diametral entgegen.

Ich habe nicht alles Material offen gelegt – aber die Screenshots, die von vpnmentor offen gelegt wurden, zeigen Rechnungen, wo ggf. der Patient mit Anschrift, behandelnder Arzt, Operateur etc. von den Sicherheitsforschern geschwärzt wurden. Die Aufnahme eines korrigierten Hintern oder einer Brust identifizieren keine Person – wenn aber eine Foto-Serie gespeichert wurde und jemand die veröffentlicht, kann das auch ohne Namensnennung zu 'oh, geh schau an, das ist ja Frau xyz von nebenan, hat die es wohl nötig gehabt, sich einer Schönheitsoperation zu unterziehen'-Bemerkungen führen.

Den Hinweis, dass die Daten in Frankreich, in einer sicheren HDS-konformen (Personal Data Hosting) medizinischen Cloud liegen – und dass die Anwendung sowie die NextMotion-Datenverwaltungspraxis 2018 von einer GDPR (General Data Protection Regulation) spezialisierten Anwaltskanzlei geprüft wurden, um die Einhaltung der 2019 in Kraft getretenen Datenverordnung zu gewährleisten – kann ich persönlich nur als Realsatire ansehen. Kleiner Schwank am Rande: Die DSGVO ist am 25. Mai 2018 in Kraft getreten und nicht erst 2019 – muss der CEO aber nicht wissen – französisches laisser-faire halt eben.

Was auch noch nicht zur Sprache gekommen ist: Da das Unternehmen international tätig ist, könnten auch deutsche Ärzte und Patienten betroffen sein. Und Ärzte, die sich DSGVO-mäßig nicht ausreichend gegenüber Patienten und NextMove als Auftragsdatenverarbeiter abgesichert haben, können sich schadensersatzpflichtig machen und in den Fokus der Datenschutzaufsichtsbehörden kommen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Massives Datenleck bei französischer Firma NextMotion, aktiv im Bereich Schönheitschirurgie

  1. Uwe sagt:

    Die Festplatten fremder Leute … ähm … ich meine die Cloud, ist sicher …. Der Zug rollt längst, es wird bum machen, geht gar nicht anders.

  2. sublof sagt:

    "Schönheitschirurgie"
    wenn ich sowat schon lese. Kein Mitleid mit den "armen" Botoxlern…

    • Eike Justus sagt:

      tldr? Wenn du den Bericht ganz gelesen und sogar darüber nachgedacht hättest, wäre dir vielleicht klar geworden, dass es sich nicht nur um Botox handelt, sondern um plastische Chirurgie aller Art. Und jedesmal steht ein Mensch dahinter, der sein Leiden beenden möchte. Kann dir oder deiner Familie jederzeit auch passieren, z.B. nach einem Unfall, oder dein Kind wird mit einer Besonderheit geboren. Im Gegensatz zu dir hätte ich sogar mit dir Mitleid.

    • Ralf S. sagt:

      Selten dämlicher und total unnötiger Kommentar! Und im Übrigen haben auch "arme Botoxler" ein Recht auf Datenschutz!
      Weiterhin schließe ich mich den stimmigen Ausführungen von "Eike Justus" an.

Schreibe einen Kommentar zu Eike Justus Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.