全球4500萬醫學影像照片在線暴露
近日,根據CybelAngel最新發布的為期六個月的調查報告,由于存儲、發送和接收醫療數據的技術存在安全問題,全球已經發現超過4500萬張醫學圖像以及與之相關的個人身份信息(PII)和個人醫療保健信息(PHI)在線暴露。
CybelAngel分析團隊發現的這些海量暴露數據包括敏感的醫療記錄和圖像,例如X射線CT掃描和MRI圖像。任何人都可以在線訪問這些網絡連接存儲(NAS)以及醫學數字成像和通信(DICOM)中的暴露數據。
報告稱,CybelAngel分析團隊使用工具掃描了大約43億個IP地址,在全球醫院和醫療中心的聯網存儲設備中發現了超過4500個醫學影像及相關隱私數據暴露,這些圖像被存儲在67個國家(包括美國、英國、法國和德國)的2140臺未受保護的(NAS)服務器上。
NAS是一種廉價的存儲解決方案,主要由小型公司或個人用于存儲數據,代替更昂貴的專用服務器或虛擬云服務器,而DICOM是醫療保行業人員用于傳輸醫學圖像的全球標準。
研究人員說,不法分子可以通過在暗網上出售這些數據來侵犯人們的隱私,他們還可以使用圖像和數據來勒索患者或通過使用患者數據來建立“幽靈診所”和“幽靈患者”以欺詐醫療系統。
對患者數據的隱私保護尤其重要,因為當前世界正處于新冠肺炎大流行之中,PII和PHI可能對患者的生活以及與他們接觸的人們的生活產生重大影響。研究人員指出,攻擊者還可以訪問數據來篡改病人的病歷。
每個暴露的醫學圖像通常包含多達200行元數據,其中包括患者的姓名,出生日期和地址以及他或她的身高、體重、診斷和其他PHI。任何人都可以訪問圖像和數據,而無需用戶名或密碼。研究人員指出,實際上,在某些地方,病人信息存儲系統甚至可以使用空白的用戶名和密碼登錄。
在一份新聞聲明中,分析團隊指出:“我們在整個研究過程中甚至都沒有使用任何黑客工具,這突顯了我們發現和訪問這些文件的便捷性。這是一個需要引起重視的發現,表明業界必須采取更嚴格的安全流程來確保醫療專業人員安全地共享和存儲敏感的醫療數據。”
研究人員對MRI,CT掃描儀和X射線等設備的醫學圖像和數據通過DICOM傳輸圖片存檔和通信系統(PAC)的路徑進行了分析。
PACS工作站通常包括DICOM查看器,該查看器可以以Web應用程序以及組織和協作工具的形式存在。雖然這些通信和傳輸方式本來就是安全的,但研究人員發現其安全性并不充分。
分析人員指出:“更糟糕的是,現有的DICOM應用程序安全措施不是強制性的,默認情況下也不會實施。”
在大多數情況下,數據泄漏涉及以多種方式公開數據的NAS設備。這包括允許FTP和SMB協議提供未經授權的第三方訪問設備及其數據的不安全端口,以及允許外部人訪問不安全Web服務的動態DNS(DDNS)。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
