近日，根據(jù)CybelAngel最新發(fā)布的為期六個月的調(diào)查報告，由于存儲、發(fā)送和接收醫(yī)療數(shù)據(jù)的技術存在安全問題，全球已經(jīng)發(fā)現(xiàn)超過4500萬張醫(yī)學圖像以及與之相關的個人身份信息(PII)和個人醫(yī)療保健信息(PHI)在線暴露。

[[358263]]

CybelAngel分析團隊發(fā)現(xiàn)的這些海量暴露數(shù)據(jù)包括敏感的醫(yī)療記錄和圖像，例如X射線CT掃描和MRI圖像。任何人都可以在線訪問這些網(wǎng)絡連接存儲(NAS)以及醫(yī)學數(shù)字成像和通信(DICOM)中的暴露數(shù)據(jù)。

報告稱，CybelAngel分析團隊使用工具掃描了大約43億個IP地址，在全球醫(yī)院和醫(yī)療中心的聯(lián)網(wǎng)存儲設備中發(fā)現(xiàn)了超過4500個醫(yī)學影像及相關隱私數(shù)據(jù)暴露，這些圖像被存儲在67個國家(包括美國、英國、法國和德國)的2140臺未受保護的(NAS)服務器上。

NAS是一種廉價的存儲解決方案，主要由小型公司或個人用于存儲數(shù)據(jù)，代替更昂貴的專用服務器或虛擬云服務器，而DICOM是醫(yī)療保行業(yè)人員用于傳輸醫(yī)學圖像的全球標準。

研究人員說，不法分子可以通過在暗網(wǎng)上出售這些數(shù)據(jù)來侵犯人們的隱私，他們還可以使用圖像和數(shù)據(jù)來勒索患者或通過使用患者數(shù)據(jù)來建立“幽靈診所”和“幽靈患者”以欺詐醫(yī)療系統(tǒng)。

對患者數(shù)據(jù)的隱私保護尤其重要，因為當前世界正處于新冠肺炎大流行之中，PII和PHI可能對患者的生活以及與他們接觸的人們的生活產(chǎn)生重大影響。研究人員指出，攻擊者還可以訪問數(shù)據(jù)來篡改病人的病歷。

每個暴露的醫(yī)學圖像通常包含多達200行元數(shù)據(jù)，其中包括患者的姓名，出生日期和地址以及他或她的身高、體重、診斷和其他PHI。任何人都可以訪問圖像和數(shù)據(jù)，而無需用戶名或密碼。研究人員指出，實際上，在某些地方，病人信息存儲系統(tǒng)甚至可以使用空白的用戶名和密碼登錄。

在一份新聞聲明中，分析團隊指出：“我們在整個研究過程中甚至都沒有使用任何黑客工具，這突顯了我們發(fā)現(xiàn)和訪問這些文件的便捷性。這是一個需要引起重視的發(fā)現(xiàn)，表明業(yè)界必須采取更嚴格的安全流程來確保醫(yī)療專業(yè)人員安全地共享和存儲敏感的醫(yī)療數(shù)據(jù)。”

研究人員對MRI，CT掃描儀和X射線等設備的醫(yī)學圖像和數(shù)據(jù)通過DICOM傳輸圖片存檔和通信系統(tǒng)(PAC)的路徑進行了分析。

PACS工作站通常包括DICOM查看器，該查看器可以以Web應用程序以及組織和協(xié)作工具的形式存在。雖然這些通信和傳輸方式本來就是安全的，但研究人員發(fā)現(xiàn)其安全性并不充分。

分析人員指出：“更糟糕的是，現(xiàn)有的DICOM應用程序安全措施不是強制性的，默認情況下也不會實施。”

在大多數(shù)情況下，數(shù)據(jù)泄漏涉及以多種方式公開數(shù)據(jù)的NAS設備。這包括允許FTP和SMB協(xié)議提供未經(jīng)授權的第三方訪問設備及其數(shù)據(jù)的不安全端口，以及允許外部人訪問不安全Web服務的動態(tài)DNS(DDNS)。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文