[DONNÉES MÉDICALES] Un gestionnaire de données laisse fuiter les photos des patients de centaines de cliniques de chirurgie esthétique

VpnMentor, une équipe de chercheurs, a alerté le 24 janvier dernier des pratiques sécuritaires inquiétantes de la compagnie de stockage gérant la plupart des fichiers patients des cliniques de chirurgie esthétique à travers le monde. La société impliquée, NextMotion, fournit en effet des services de gestion des données à environ 170 cliniques, leur permettant de centraliser les dossiers de leurs patients ainsi que photos et vidéographies. Du contenu à caractère très sensible, puisqu’il s’agit de photos de parties du corps dénudées, que NextMotion assure protéger en conformité avec le règlement RGPD. Après avoir jeté un œil à sa base de données stockée au sein d’un « S3 bucket », le service de cloud public d’AWS, vpnMentor s’est ainsi rendu compte de l’absence complet de mécanismes de contrôles d’accès à la base, et de la facilité avec laquelle ils pouvaient accéder aux fichiers individuels rendus publics de 900,000 patients, contenant à la fois des photos de leurs corps et visages, des factures et des ordonnances. Après avoir été signalée à NextMotion et AWS fin janvier, la faille a pu être réparée le 5 février. Les chercheurs recommandent cependant de rester prudents quant aux pratiques de sauvegarde des cliniques (Source : HackRead).