據(jù)外媒 Securityaffairs 報(bào)道，德國(guó)漏洞分析和管理公司 Greenbone Networks 的專家發(fā)現(xiàn)，600 個(gè)未受保護(hù)的服務(wù)器暴露于互聯(lián)網(wǎng)，這些服務(wù)器包含大量醫(yī)療放射圖像。其中，有超過(guò) 7.37 億個(gè)放射圖像，涉及 2000 多萬(wàn)人，影響到 52 個(gè)國(guó)家的患者。

 

 

筆者注意到，中國(guó)有 14 個(gè)未受保護(hù)的 PACS 服務(wù)器系統(tǒng)，泄露 279000 個(gè)數(shù)據(jù)記錄。

Greenbone Networks 的研究于 2019 年 7 月中旬至 2019 年 9 月初進(jìn)行。據(jù)悉，該公司的研究人員分析了大約 2300 個(gè)在線的醫(yī)學(xué)影像歸檔和通信系統(tǒng) ( PACS )。

公開(kāi)資料表明，PACS 系統(tǒng)是應(yīng)用于醫(yī)院影像科室，主要任務(wù)是把日常產(chǎn)生的各種醫(yī)學(xué)影像(包括核磁、CT、各種 X 光機(jī)等設(shè)備產(chǎn)生的圖像)通過(guò)各種接口(模擬、DICOM、網(wǎng)絡(luò))以數(shù)字化的方式海量保存起來(lái)。當(dāng)需要時(shí)，在一定授權(quán)下，可以快速調(diào)回，同時(shí)增加一些輔助診斷管理功能。

這些 PACS 系統(tǒng)使用醫(yī)學(xué)數(shù)字成像和通信 (DICOM)標(biāo)準(zhǔn)來(lái)管理醫(yī)學(xué)成像數(shù)據(jù)。

這些未受保護(hù)的醫(yī)學(xué)影像歸檔和通信系統(tǒng)位于 52 個(gè)國(guó)家，專家們發(fā)現(xiàn)它們受到 10000 個(gè)漏洞的影響，其中 500 多個(gè)被評(píng)為最高嚴(yán)重性評(píng)分。

 

 

Greenbone Networks 專家發(fā)現(xiàn)了 590 臺(tái) PACS 服務(wù)器，這些服務(wù)器可以檢索到大約 2430 萬(wàn)患者記錄。

“分析的全球 2300 個(gè)檔案系統(tǒng)中，有 590 個(gè)已經(jīng)被確定為可以在互聯(lián)網(wǎng)上公開(kāi)訪問(wèn);它們共同收集了 52 個(gè)國(guó)家的 2400 多萬(wàn)份患者數(shù)據(jù)記錄。”Greenbone 的報(bào)告寫(xiě)道，“這個(gè)患者數(shù)據(jù)中有超過(guò) 7.37 億個(gè)醫(yī)學(xué)放射圖像，其中大約有 4 億個(gè)放射圖像可以訪問(wèn)，或者能從互聯(lián)網(wǎng)上輕松下載。”

此外，還有 39 個(gè)系統(tǒng)允許通過(guò)未加密的 HTTP Web Viewer 訪問(wèn)患者數(shù)據(jù)，沒(méi)有任何保護(hù)。

這些患者數(shù)據(jù)記錄非常詳細(xì)，大多包括以下個(gè)人和醫(yī)療細(xì)節(jié)：

名字和姓氏;
出生日期;
審查日期;
調(diào)查范圍;
成像程序的類(lèi)型;
主治醫(yī)師;
研究所 / 診所;

生成的圖像數(shù)量

攻擊者可以利用這些信息部署和實(shí)施更有效的社交工程和網(wǎng)絡(luò)釣魚(yú)攻擊，從而最終獲得金錢(qián)。

研究人員使用 RadiAnt DICOM Viewer 分析來(lái)自網(wǎng)上暴露的開(kāi)放式 PACS 服務(wù)器的數(shù)據(jù)，在 7.335 億張醫(yī)學(xué)放射圖像中，有 3.995 億張放射圖像可以下載和查看。

 

 

在歐洲，意大利受影響的系統(tǒng)數(shù)量最多，有 10 個(gè)，它也是泄露醫(yī)療信息數(shù)量最多的國(guó)家，有 10.03 萬(wàn)數(shù)據(jù)集，580 萬(wàn)醫(yī)療放射圖像。

 

 

在北美，數(shù)量最多未受保護(hù)的 PACS 系統(tǒng)是在美國(guó)，同時(shí)它也是數(shù)據(jù)集暴露最多的國(guó)家，有 1370 萬(wàn)數(shù)據(jù)集，超過(guò) 3 億張醫(yī)學(xué)圖像，暴露的機(jī)器系統(tǒng)是 187。

 

 

在南美，巴西的數(shù)據(jù)泄露“遙遙領(lǐng)先”，有 64 萬(wàn)數(shù)據(jù)集，3110 萬(wàn)個(gè)醫(yī)學(xué)圖像，34 個(gè)泄露的服務(wù)器。

在亞洲，數(shù)量最多的開(kāi)放式機(jī)器是在印度，但是土耳其泄露的數(shù)據(jù)記錄(490 萬(wàn))和醫(yī)學(xué)放射圖像(490 萬(wàn))確是處于領(lǐng)先地位。

 

 

在印度，有接近 100 個(gè)未受保護(hù)的 PACS 系統(tǒng)，627000 個(gè)記錄，超過(guò) 1.05 億張醫(yī)學(xué)圖像。

除了這些問(wèn)題，審計(jì)發(fā)現(xiàn) 45 個(gè) PACS 可以通過(guò) HTTP 或 FTP 等不安全協(xié)議提供數(shù)據(jù)，而不是 DICOM。

因此，無(wú)需認(rèn)證，即可訪問(wèn)存儲(chǔ)在其上的數(shù)據(jù)。

其中，一個(gè)目錄列表提供 DICOM 存檔文件，允許通過(guò) Web 瀏覽器訪問(wèn)任何人。

研究人員估計(jì)，暗網(wǎng)上泄露數(shù)據(jù)的價(jià)值可能超過(guò) 10 億美元。美國(guó)衛(wèi)生與人類(lèi)服務(wù)部(HHS)4 月份發(fā)布的一份報(bào)告估計(jì)，暗網(wǎng)上醫(yī)療健康記錄數(shù)據(jù)的平均價(jià)值為 250 美元，但有可能接近 1000 美元，因此網(wǎng)絡(luò)犯罪分子對(duì)這類(lèi)信息絕對(duì)感興趣。

無(wú)疑，這類(lèi)數(shù)據(jù)的泄露風(fēng)險(xiǎn)非常大。其中，最明顯的是針對(duì)性攻擊、敲詐勒索，甚至是通過(guò)醫(yī)療身份盜竊來(lái)實(shí)施醫(yī)療或健康保險(xiǎn)欺詐。

這份報(bào)告總結(jié)道，“這些數(shù)據(jù)可被攻擊者用于各種目的，包括發(fā)布個(gè)人姓名和圖像來(lái)?yè)p害一個(gè)人的聲譽(yù);將數(shù)據(jù)與暗網(wǎng)其他數(shù)據(jù)連接起來(lái)，讓網(wǎng)絡(luò)釣魚(yú)和社交工程更加有效;閱讀并自動(dòng)處理數(shù)據(jù)來(lái)搜索有價(jià)值的身份信息，例如社會(huì)安全號(hào)碼用來(lái)盜用身份。”

相關(guān)文章：More than 737 million medical radiological images found on open PACS servers

作者：萬(wàn)佳

標(biāo)簽： 醫(yī)療數(shù)據(jù) 數(shù)據(jù)泄露

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。