![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
[English]Sicherheitsforscher sind bei der franz\u00f6sischen Firma NextMotion, einem Technologieunternehmen f\u00fcr plastische Chirurgie, auf ein massives Datenleck gesto\u00dfen. Eine kompromittierte Datenbank enthielt 100.000 Profilbilder und pers\u00f6nliche (sowie intime) Daten von Patienten, die sich Sch\u00f6nheitsoperationen bei Chirurgen unterzogen haben. Die Informationen sind mir direkt von vpnmentor zugegangen. NextMotion hat das Datenleck best\u00e4tigt.<\/p>\n
<\/p>\n
digitale und innovative Technologie-Tools, die helfen, die Probleme vor und nach der Sch\u00f6nheitsoperation zu l\u00f6sen, Ihre Patienten zu beruhigen, Ihr Datenmanagement zu vereinfachen und Ihren Ruf zu verbessern.<\/p><\/blockquote>\n Das Unternehmen ist schnell gewachsen. Im Jahr 2019 erreichte es eine globale Pr\u00e4senz in 170 Kliniken in 35 L\u00e4ndern und einer Investition von 1 Million Euro f\u00fcr die weitere globale Expansion. Dieses Video<\/a> gibt einen Eindruck von ihrer Arbeit.<\/p>\n (Source: YouTube<\/a>)<\/p>\n Die Leute schreiben: Erf\u00fcllen Sie den neuen Standard im \u00e4sthetischen Prozessmanagement. Nextmotion ist die beste L\u00f6sung f\u00fcr die Durchf\u00fchrung einer 100%ig zusammenh\u00e4ngenden \u00e4sthetischen Aktivit\u00e4t. Erstellen Sie dynamische, standardisierte Videos, verwalten Sie Ihre t\u00e4glichen Aktivit\u00e4ten und lernen Sie Ihre Patienten kennen.<\/em><\/p>\n Sie bieten der Kundschaft ein \"Portfolio in der Cloud\" an, so dass Sch\u00f6nheitschirurgen st\u00e4ndig Zugang zu den besten Daten von Vorher\/Nachher Aufnahmen bei Sch\u00f6nheitsoperationen haben. So kann man der Kundin quasi am Tablet zeigen, was da mit dem Skalpell machbar ist. Und die Firma verspricht den Kunden, dass sie eine 'sichere medizinische Cloud' zur Speicherung der Daten verf\u00fcgbar haben.<\/p>\n Dieses Technologieunternehmen arbeitet also in einem sehr sensiblen Bereich, in dem die Daten der Patienten sicher gespeichert werden m\u00fcssen. Das wird auch an allen Stellen immer wieder betont.<\/p>\n Das Unternehmen br\u00fcstet sich auf seiner Webseite, dass alle Standards, von DSGVO bis hin zu medizinischen Auflagen eingehalten werde. Ist aber alles Schall und Rauch.<\/p><\/blockquote>\n Ein Team von Sicherheitsforschern von vpnmentor unter der Leitung von Noam Rotem und Ran Locar entdeckte am 24. Januar 2020 eine offene Datenbank eines Unternehmens. Die Datenbank war nach dem Unternehmen benannt war, konnte Team schnell das Technologieunternehmen NextMotion als den potenziellen Eigent\u00fcmer identifizierten.<\/p>\n NextMotion benutzte eine Amazon Web Services (AWS) S3 bucket-Datenbank, um Fotos, Videos und andere Daten (Rechnungen etc.) von Patienten zu speichern, lie\u00df diese Datenbank jedoch v\u00f6llig ungesichert. Und dies, obwohl NextMotion auf ihrer Website gro\u00dfspurig schreibt, dass:<\/p>\n \"Alle Ihre Daten sind 100% sicher, in der medizinischen Cloud, gespeichert sind und dies den neuesten Vorschriften f\u00fcr die Speicherung von Gesundheitsdaten in Ihrem Land entspreche (GDPR, HIPAA, ISO usw.).\"<\/p><\/blockquote>\n Das Sicherheitsteam von vpnmentor hatte allerdings Zugriff auf fast 900.000 Einzeldateien. Diese Dateien umfassen hochsensible Bilder, Videodateien und Unterlagen zu plastischer Chirurgie, dermatologischen Behandlungen und Beratungen, die von Kliniken mit der NextMotion-Technologie durchgef\u00fchrt wurden. Die privaten pers\u00f6nlichen Benutzerdaten, die die Sicherheitsforscher eingesehen haben, umfassten:<\/p>\n In der folgenden \u00dcbersicht werden die verschiedenen plastisch-chirurgischen Eingriffe eines Patienten mit den damit verbundenen Kosten und Terminen dargestellt.<\/p>\n Im Folgenden finden Sie Beispiele von Patienten, die sich auf Eingriffe im Gesicht vorbereiten. Dazu geh\u00f6ren auch Screenshots, die das Sicherheitsteam von den angesehenen Videos gemacht hat. Die Bilder wurden aus Gr\u00fcnden des Datenschutzes von den Sicherheitsforschern gepixelt.<\/p>\n Viele weitere Bilder waren nicht nur sensibel, sondern auch sehr intim. Das Team fand in der Datenbank Nahaufnahmen von nackten Br\u00fcste und Genitalien von Frauen, darunter auch Bilder, die unmittelbar nach einem chirurgischen Eingriff aufgenommen wurden.<\/p>\n Die Herkunft der Fotos und Dateien in der Datenbank ist zum Zeitpunkt der Erstellung dieses Artikels nicht klar, da sie nur wenige Informationen enthalten. Dieses Datenleck betrifft m\u00f6glicherweise NextMotion-Kunden (Chirurgen und deren Patientinnen) auf der ganzen Welt. Die Ver\u00f6ffentlichung solcher Fotos w\u00e4re f\u00fcr die betroffenen Frauen\/Patienten verheerend.<\/p>\n Die offengelegten Unterlagen und Rechnungen enthielten auch Daten von Patienten, die pers\u00f6nliche Informationen (PII) enthalten. Diese Art von Daten kann dazu verwendet werden, um Personen f\u00fcr eine Vielzahl von Betr\u00fcgereien und Online-Angriffen ins Visier zu nehmen. Die Datenbank von NextMotion stellte ein echtes Risiko f\u00fcr die betroffenen Personen dar, mit weitreichenden Auswirkungen auf die Privatsph\u00e4re und die Sicherheit aller Beteiligten.<\/p>\n Angesichts des hochsensiblen (intimen) und pers\u00f6nlichen Charakters der Dateien innerhalb der exponierten Datenbank – die sich auf medizinische Verfahren, die Finanzen der Patienten beziehen und grafische Bilder enthalten – ist es eine Katastrophe f\u00fcr NextMotion, und die Betroffenen. Das Unternehmen h\u00e4tte mehr tun m\u00fcssen, um diese Informationen abzusichern (z.B. verschl\u00fcsselt abzuspeichern). NextMotion war sich dieser sensiblen Natur der gespeicherten Daten klar bewusst. Auf der Website des Unternehmens wird wiederholt auf die verschiedenen staatlichen Vorschriften und Datenschutzgesetze hingewiesen, die sie angeblich einhalten (\"GDPR\/DSGVO, HIPPA, ISO, etc.\").<\/p>\n Trotz ihrer Bem\u00fchungen scheinen sie es vers\u00e4umt zu haben, die Daten der Menschen zu sch\u00fctzen, die ihre Technologie nutzen. Dadurch haben sie eine Vielzahl potenzieller Probleme geschaffen. vpnmentor schreibt:<\/p>\n Der Datenschutz ist nicht nur f\u00fcr Unternehmen, die in der Medizinbranche t\u00e4tig sind, ein kritisches Gesch\u00e4ftsproblem. Es gibt ernsthafte rechtliche Aspekte. Durch die Offenlegung von Patientenakten, Bildern und PII k\u00f6nnte NextMotion f\u00fcr rechtliche Schritte durch die Patienten selbst oder durch Aufsichtsbeh\u00f6rden in den L\u00e4ndern, in denen sie t\u00e4tig sind, haftbar gemacht werden.<\/p><\/blockquote>\n Da NextMotion seinen Sitz in Frankreich hat, f\u00e4llt es in die Zust\u00e4ndigkeit der EU und der DSGVO. NextMotion ist sich dessen bewusst – das Unternehmen behauptet, \"100% DSGVO- und Gesundheitsdaten-konform\" zu sein. NextMotion darf also mit Bu\u00dfgeldern sowie weiteren rechtlichen Schritten gem\u00e4\u00df DSGVO rechnen.<\/p>\n Wenn die Kliniken nicht darauf vertrauen k\u00f6nnen, dass NextMotion die Daten ihrer Patienten sicher aufbewahren kann, werden sie z\u00f6gern, die Technologie des Unternehmens zu nutzen. Dies k\u00f6nnte dazu f\u00fchren, dass NextMotion bestehende Kunden verliert und ihre geplante Expansion in neue M\u00e4rkte beeintr\u00e4chtigt wird. Viele weitere Implikationen k\u00f6nnten im Blogbeitrag von vpnmentor<\/a> (Englisch) nachgelesen werden.<\/p>\n Nachdem NextMotion am 27.01.2020 von den Sicherheitsforschern kontaktiert wurde, dauerte es bis zum 11. Februar 2020, bis eine Antwort kam. Hier ist der von vpnmentor ver\u00f6ffentlichte Zeitplan:<\/p>\n Erg\u00e4nzung:<\/strong> Bei solchen Vorf\u00e4llen ist immer unklar, ob es nur eine Behauptung eines Sicherheitsforschers ist. Ich wollte daher die Presseabteilung von NextMotion wegen einer Stellungnahme anfragen und bin auf deren nachfolgende Presseerkl\u00e4rung gesto\u00dfen:<\/p>\n We were informed on January 27, 2020, that a cybersecurity company had undertaken tests on randomly selected companies and had managed to access our information system. They were able to extract videos and photos from some of our patients' files. This data had been de-identified – identifiers, birth dates, notes, etc. – and thus was not exposed.<\/p>\n This company operates with the only goal to check security and alerted us of a potential risk of intrusion. We immediately took corrective steps and this same company formally guaranteed that the security flaw had completely disappeared. This incident only reinforced our ongoing concern to protect your data and your patients' data when you use the Nextmotion application.<\/strong><\/p>\n As a reminder, all your data is stored in France, in a secure HDS (personal data hosting) compliant medical cloud. Our application and our data management practice were audited in 2018 by a GDPR (General Data Protection Regulation) specialized law firm, in order to ensure our compliance with the data regulation which came into effect in 2019.<\/strong><\/p>\n This company also contacted press. Articles on this topic will probably be published in the coming days, which could raise concerns with your patients. We stand by you to answer precisely any questions worried patients may have. You can if you wish suggest they send us their questions in writing at this email address : securite@nextmotion.net<\/p>\n You must know that I am personally committed to securing the technologies we make available to you.<\/p>\n Please accept my sincere apologies for this fortunately minor incident.<\/p>\n Dr Emmanuel ELARD, Der Vorfall wird also best\u00e4tigt. Wo es eine erhebliche Diskrepanz gibt, ist die Bewertung des Vorfalls und der Umfang der zugreifbaren Daten aus den Patientenakten. Der CEO von NextMotion schreibt:<\/p>\n They were able to extract videos and photos from some of our patients' files. This data had been de-identified – identifiers, birth dates, notes, etc. – and thus was not exposed.<\/p><\/blockquote>\n Er gesteht also zu, dass die Leute von vpnmentor auf Videos und Fotos von 'einigen der Patienten' zugreifen konnten. Dem steht die Aussage von 900.000 Dateien, die zugreifbar waren, entgegen. Auch wird behauptet, dass die Daten de-identifiziert worden seien (sprich: Die pers\u00f6nlichen Daten der Patienten w\u00e4ren nicht dabei gewesen und die Leute seien nicht identifizierbar). Da stehen die Informationen von vpnmentor diametral entgegen.<\/p>\n Ich habe nicht alles Material offen gelegt \u2013 aber die Screenshots, die von vpnmentor offen gelegt wurden, zeigen Rechnungen, wo ggf. der Patient mit Anschrift, behandelnder Arzt, Operateur etc. von den Sicherheitsforschern geschw\u00e4rzt wurden. Die Aufnahme eines korrigierten Hintern oder einer Brust identifizieren keine Person \u2013 wenn aber eine Foto-Serie gespeichert wurde und jemand die ver\u00f6ffentlicht, kann das auch ohne Namensnennung zu 'oh, geh schau an, das ist ja Frau xyz von nebenan, hat die es wohl n\u00f6tig gehabt, sich einer Sch\u00f6nheitsoperation zu unterziehen'-Bemerkungen f\u00fchren.<\/p>\n Den Hinweis, dass die Daten in Frankreich, in einer sicheren HDS-konformen (Personal Data Hosting) medizinischen Cloud liegen – und dass die Anwendung sowie die NextMotion-Datenverwaltungspraxis 2018 von einer GDPR (General Data Protection Regulation) spezialisierten Anwaltskanzlei gepr\u00fcft wurden, um die Einhaltung der 2019<\/strong> in Kraft getretenen Datenverordnung zu gew\u00e4hrleisten \u2013 kann ich pers\u00f6nlich nur als Realsatire ansehen. Kleiner Schwank am Rande: Die DSGVO ist am 25. Mai 2018 in Kraft getreten und nicht erst 2019 – muss der CEO aber nicht wissen – franz\u00f6sisches laisser-faire halt eben.<\/p>\n Was auch noch nicht zur Sprache gekommen ist: Da das Unternehmen international t\u00e4tig ist, k\u00f6nnten auch deutsche \u00c4rzte und Patienten betroffen sein. Und \u00c4rzte, die sich DSGVO-m\u00e4\u00dfig nicht ausreichend gegen\u00fcber Patienten und NextMove als Auftragsdatenverarbeiter abgesichert haben, k\u00f6nnen sich schadensersatzpflichtig machen und in den Fokus der Datenschutzaufsichtsbeh\u00f6rden kommen.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Sicherheitsforscher sind bei der franz\u00f6sischen Firma NextMotion, einem Technologieunternehmen f\u00fcr plastische Chirurgie, auf ein massives Datenleck gesto\u00dfen. Eine kompromittierte Datenbank enthielt 100.000 Profilbilder und pers\u00f6nliche (sowie intime) Daten von Patienten, die sich Sch\u00f6nheitsoperationen bei Chirurgen unterzogen haben. Die Informationen sind … Weiterlesen NextMotion<\/a> ist ein Technologieunternehmen, das Kliniken, die in der Dermatologie, Kosmetik und plastischen Chirurgie arbeiten, mit digitalen Foto- und Videoger\u00e4ten f\u00fcr ihre Patienten versorgt. Das Unternehmen hat seinen Sitz in Frankreich und wurde 2015 von einem Team plastischer Chirurgen gegr\u00fcndet, um Kliniken folgende Leistungen anzubieten:<\/p>\n
![\"Nextmotion](\"https:\/\/i.imgur.com\/XrYamnn.jpg\" "\\"Nextmotion")
\n(Screenshot Nextmotion-Werbung im Web)<\/p>\nDas Datenleck<\/h2>\n
\n
![\"](\"https:\/\/i.imgur.com\/g25tJ3x.jpg\" "\\"")
\n(Source: vpnmentor)<\/p>\n![\"examples](\"https:\/\/i.imgur.com\/UB7kNuo.jpg\" "\\"examples")
<\/p>\nDie Auswirkungen dieses Datenlecks<\/h2>\n
\n
NextMotion best\u00e4tigt den Datenschutzvorfall<\/h2>\n
\nCEO of NextMotion<\/em><\/p><\/blockquote>\n