4500萬張醫學影像在網上被曝光
新的研究發現,由於用於存儲、發送和接收醫療數據的技術本身的不安全性,使得超過4500萬張醫療圖像以及與之相關的個人身份信息(PII)和個人醫療信息(PHI)被暴露在網上。
CybelAngel分析團隊的研究人員對網路附加存儲(NAS)和醫學中的數字成像和通信(DICOM)進行的為期六個月的調查中發現了敏感的醫療記錄和圖像,這其中包括X射線CT掃描和核磁共振圖像,任何人都可以在線訪問這些資料。
NAS是一種廉價的存儲解決方案,主要用於小型公司或個人存儲數據,而不是通常支付更昂貴的錢來購買專用伺服器或虛擬雲伺服器,而DICOM是醫療行業用於傳輸醫學圖像的行業標準。
"CybelAngel分析團隊檢測到醫療設備泄露了超過4500萬個成像的文件,這些文件存儲在未受保護的設備上,它們來自於全球的醫院和醫療中心。"CybelAngel高級網路安全分析師David Sygula在報告《Full Body Exposure》中說,並補充說道,在其中發現了67個國家的數據的泄漏。
研究人員說,黑客攻擊者可以在暗網上出售數據來侵犯別人的隱私,在暗網上,數據是一種有價值的商品。他們還可以利用這些圖像和數據來勒索病人,或者利用病人的數據建立 "幽靈診所 "和 "幽靈病人 "來攻擊醫療系統。
此外,相比而言,患者的隱私更為重要,因為目前世界正處於疫情流行期間,PII和PHI可能會對患者的生活及其接觸過的人的生活產生重大影響。研究人員指出,黑客攻擊者或有其他不良意圖的人也可以訪問數據來達到修改某人的醫療記錄的目的。
CybelAngel使用工具掃描了大約43億個IP地址來查找這些圖像,根據報告,這些圖像暴露在67個國家的2140多個未受保護的伺服器上,其中包括美國、英國、法國和德國。
每張圖像通常包括多達200行的元數據,每條記錄包括患者的姓名、出生日期和地址,以及他或她的身高、體重、診斷和其他PHI。任何人都可以訪問這些圖像和數據,而無需用戶名或者密碼 ;事實上,在某些情況下,登錄存儲有用戶信息的系統可以使用空白用戶名和密碼,研究人員說。"事實上,我們在整個研究過程中沒有使用任何黑客工具,這顯現了我們可以輕鬆發現和訪問這些文件,"Sygula在一份新聞聲明中說。"這是一個很重大的發現,我們必須制定更嚴格的安全訪問流程,以保護醫療專業人員共享和存儲的敏感醫療數據。"
PACS工作站通常包括DICOM查看器,它可以以網路應用的形式存在。雖然通信和傳輸方式是安全的,但研究人員發現,安全性是 "遠遠不夠的"。
"更糟糕的是,現有的DICOM應用安全措施並不是強制使用的,也不是默認應用的,"Sygula寫道。
在大多數情況下,數據泄漏涉及一個NAS設備,但是同時又會以多種方式進行數據泄露。這些方式包括FTP和SMB協議允許未經授權的第三方訪問設備和數據進行訪問,以及動態DNS(DDNS)允許外部人員訪問不安全的網路服務。
CybelAngel為醫療機構提供了一些簡單的建議,以避免將敏感數據給未經授權的人查看。研究人員建議他們應該確保疫情響應措施不違反當前的安全政策,以及將連接的醫療成像設備適當分割在不同的網路中。
CybelAngel還建議醫療機構對第三方合作夥伴進行審核,確保他們也符合數據訪問的規定,這樣數據才不會在傳輸過程中發生泄露。
參考及來源:https://threatpost.com/million-medical-images-online/162284/
