全球4500万医学影像照片在线暴露

近日,根据CybelAngel最新发布的为期六个月的调查报告,由于存储、发送和接收医疗数据的技术存在安全问题,全球已经发现超过4500万张医学图像以及与之相关的个人身份信息(PII)和个人医疗保健信息(PHI)在线暴露。

CybelAngel分析团队发现的这些海量暴露数据包括敏感的医疗记录和图像,例如X射线CT扫描和MRI图像。任何人都可以在线访问这些网络连接存储(NAS)以及医学数字成像和通信(DICOM)中的暴露数据。

报告称,CybelAngel分析团队使用工具扫描了大约43亿个IP地址,在全球医院和医疗中心的联网存储设备中发现了超过4500个医学影像及相关隐私数据暴露,这些图像被存储在67个国家(包括美国、英国、法国和德国)的2140台未受保护的(NAS)服务器上。

NAS是一种廉价的存储解决方案,主要由小型公司或个人用于存储数据,代替更昂贵的专用服务器或虚拟云服务器,而DICOM是医疗保行业人员用于传输医学图像的全球标准。

研究人员说,不法分子可以通过在暗网上出售这些数据来侵犯人们的隐私,他们还可以使用图像和数据来勒索患者或通过使用患者数据来建立“幽灵诊所”和“幽灵患者”以欺诈医疗系统。

对患者数据的隐私保护尤其重要,因为当前世界正处于新冠肺炎大流行之中,PII和PHI可能对患者的生活以及与他们接触的人们的生活产生重大影响。研究人员指出,攻击者还可以访问数据来篡改病人的病历。

每个暴露的医学图像通常包含多达200行元数据,其中包括患者的姓名,出生日期和地址以及他或她的身高、体重、诊断和其他PHI。任何人都可以访问图像和数据,而无需用户名或密码。研究人员指出,实际上,在某些地方,病人信息存储系统甚至可以使用空白的用户名和密码登录。

在大多数情况下,数据泄漏涉及以多种方式公开数据的NAS设备。这包括允许FTP和SMB协议提供未经授权的第三方访问设备及其数据的不安全端口,以及允许外部人访问不安全Web服务的动态DNS(DDNS)。