近日,根据CybelAngel最新发布的为期六个月的调查报告,由于存储、发送和接收医疗数据的技术存在安全问题,全球已经发现超过4500万张医学图像以及与之相关的个人身份信息(PII)和个人医疗保健信息(PHI)在线暴露。
CybelAngel分析团队发现的这些海量暴露数据包括敏感的医疗记录和图像,例如X射线CT扫描和MRI图像。任何人都可以在线访问这些网络连接存储(NAS)以及医学数字成像和通信(DICOM)中的暴露数据。
报告称,CybelAngel分析团队使用工具扫描了大约43亿个IP地址,在全球医院和医疗中心的联网存储设备中发现了超过4500个医学影像及相关隐私数据暴露,这些图像被存储在67个国家(包括美国、英国、法国和德国)的2140台未受保护的(NAS)服务器上。
NAS是一种廉价的存储解决方案,主要由小型公司或个人用于存储数据,代替更昂贵的专用服务器或虚拟云服务器,而DICOM是医疗保行业人员用于传输医学图像的全球标准。
研究人员说,不法分子可以通过在暗网上出售这些数据来侵犯人们的隐私,他们还可以使用图像和数据来勒索患者或通过使用患者数据来建立“幽灵诊所”和“幽灵患者”以欺诈医疗系统。
对患者数据的隐私保护尤其重要,因为当前世界正处于新冠肺炎大流行之中,PII和PHI可能对患者的生活以及与他们接触的人们的生活产生重大影响。研究人员指出,攻击者还可以访问数据来篡改病人的病历。
每个暴露的医学图像通常包含多达200行元数据,其中包括患者的姓名,出生日期和地址以及他或她的身高、体重、诊断和其他PHI。任何人都可以访问图像和数据,而无需用户名或密码。研究人员指出,实际上,在某些地方,病人信息存储系统甚至可以使用空白的用户名和密码登录。
在一份新闻声明中,分析团队指出:“我们在整个研究过程中甚至都没有使用任何黑客工具,这突显了我们发现和访问这些文件的便捷性。这是一个需要引起重视的发现,表明业界必须采取更严格的安全流程来确保医疗专业人员安全地共享和存储敏感的医疗数据。”
研究人员对MRI,CT扫描仪和X射线等设备的医学图像和数据通过DICOM传输图片存档和通信系统(PAC)的路径进行了分析。
PACS工作站通常包括DICOM查看器,该查看器可以以Web应用程序以及组织和协作工具的形式存在。虽然这些通信和传输方式本来就是安全的,但研究人员发现其安全性并不充分。
分析人员指出:“更糟糕的是,现有的DICOM应用程序安全措施不是强制性的,默认情况下也不会实施。”
在大多数情况下,数据泄漏涉及以多种方式公开数据的NAS设备。这包括允许FTP和SMB协议提供未经授权的第三方访问设备及其数据的不安全端口,以及允许外部人访问不安全Web服务的动态DNS(DDNS)。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
