全球4500万医学影像照片在线暴露

发布时间:2020-12-18 10:42:00

  近日,根据CybelAngel最新发布的为期六个月的调查报告,由于存储、发送和接收医疗数据的技术存在安全问题,全球已经发现超过4500万张医学图像以及与之相关的个人身份信息(PII)和个人医疗保健信息(PHI)在线暴露。

  CybelAngel分析团队发现的这些海量暴露数据包括敏感的医疗记录和图像,例如X射线CT扫描和MRI图像。任何人都可以在线访问这些网络连接存储(NAS)以及医学数字成像和通信(DICOM)中的暴露数据。



  报告称,CybelAngel分析团队使用工具扫描了大约43亿个IP地址,在全球医院和医疗中心的联网存储设备中发现了超过4500个医学影像及相关隐私数据暴露,这些图像被存储在67个国家(包括美国、英国、法国和德国)的2140台未受保护的(NAS)服务器上。

  NAS是一种廉价的存储解决方案,主要由小型公司或个人用于存储数据,代替更昂贵的专用服务器或虚拟云服务器,而DICOM是医疗保行业人员用于传输医学图像的全球标准。

  研究人员说,不法分子可以通过在暗网上出售这些数据来侵犯人们的隐私,他们还可以使用图像和数据来勒索患者或通过使用患者数据来建立“幽灵诊所”和“幽灵患者”以欺诈医疗系统。

  对患者数据的隐私保护尤其重要,因为当前世界正处于新冠肺炎大流行之中,PII和PHI可能对患者的生活以及与他们接触的人们的生活产生重大影响。研究人员指出,攻击者还可以访问数据来篡改病人的病历。

  每个暴露的医学图像通常包含多达200行元数据,其中包括患者的姓名,出生日期和地址以及他或她的身高、体重、诊断和其他PHI。任何人都可以访问图像和数据,而无需用户名或密码。研究人员指出,实际上,在某些地方,病人信息存储系统甚至可以使用空白的用户名和密码登录。

  在一份新闻声明中,分析团队指出:“我们在整个研究过程中甚至都没有使用任何黑客工具,这突显了我们发现和访问这些文件的便捷性。这是一个需要引起重视的发现,表明业界必须采取更严格的安全流程来确保医疗专业人员安全地共享和存储敏感的医疗数据。”

  研究人员对MRI,CT扫描仪和X射线等设备的医学图像和数据通过DICOM传输图片存档和通信系统(PAC)的路径进行了分析。

  PACS工作站通常包括DICOM查看器,该查看器可以以Web应用程序以及组织和协作工具的形式存在。虽然这些通信和传输方式本来就是安全的,但研究人员发现其安全性并不充分。

  分析人员指出:“更糟糕的是,现有的DICOM应用程序安全措施不是强制性的,默认情况下也不会实施。”

  在大多数情况下,数据泄漏涉及以多种方式公开数据的NAS设备。这包括允许FTP和SMB协议提供未经授权的第三方访问设备及其数据的不安全端口,以及允许外部人访问不安全Web服务的动态DNS(DDNS)。

  【参考来源:安全牛】

最新发布
1
相约乌镇·共话安全丨天威诚信将亮相2021年世界互联网大会“互联网之光”博览会
2
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
3
惊!91%的工业企业容易遭受网络攻击
4
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
5
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
6
《中华人民共和国个人信息保护法》审议通过
7
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
8
规范“人脸识别”,为盗刷者戴上“紧箍咒”
9
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
10
《网络安全审查办法(修订草案征求意见稿)》解读
相关推荐
5.33亿Facebook用户的电话号码在黑客论坛被泄露
规范“人脸识别”,为盗刷者戴上“紧箍咒”
错误的证书信任关系,导致3000万台戴尔设备面临重大风险
相约乌镇·共话安全丨天威诚信将亮相2021年世界互联网大会“互联网之光”博览会
《中华人民共和国个人信息保护法》审议通过
ParkMobile泄密事件暴露了2100万用户的车牌数据和手机号码
医疗保健网络钓鱼事件导致大规模数据泄露
由于证书过期,Pulse Secure VPN用户无法登录
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
谷歌chrome90以HTTPS作为默认协议发布