400 миллионов медицинских рентгенологических изображений, выставленных в Интернете

Ионут Илашку
  • 18 сентября 2019 г.
  • 02:28

Анализ систем хранения медицинских изображений, размещенных в общедоступной сети, показывает, что почти 600 серверов в 52 странах полностью защищены от проникновения.

Проверенные бухгалтерской системы не были исправлены против тысяч уязвимостей, более 500 где имеют самый уровень серьезности.

Огромные, тревожные цифры

Немецкая компания Greenbone Networks, занимающаяся анализом и управлением уязвимостями, проверила около 2300 систем систем архивации и передачи изображений (PACS), подключенных к общедоступному Интернету, и обнаружила значительные проблемы, которые раскрывают конфиденциальную информацию.

PACS используются в секторе здравоохранения для хранения и обслуживания медицинской информации, получаемой с устройств визуализации, таких как рентгеновские, КТ или МРТ-аппараты. Они используют стандарт DICOM (Digital Imaging and Communications in Medicine) для передачи, хранения, извлечения, печати, обработки и отображения данных медицинской визуализации.

Используя общедоступные механизмы обнаружения устройств в период с середины июля по начало сентября, Greenbone Networks идентифицировала 590 серверов PACS, к которым можно было получить доступ через Интернет, и позволила получить около 24,3 миллиона записей о пациентах.

READ  Хакеры откачивают миллионы в криптовалюте от обмена dForce

Большинство записей включали следующие личные и медицинские данные:

  • Имя и фамилия
  • Дата рождения
  • Дата экзамена
  • Объем расследования
  • Тип процедуры визуализации
  • Лечащий врач
  • Институт / клиника
  • Количество сгенерированных изображений

Злоумышленники могут использовать эту информацию для развертывания более эффективных социальных технологий и фишинговых атак, которые в качестве конечной цели получают финансовое вознаграждение.

Исследователи установили RadiAnt DICOM Viewer для получения данных с открытых серверов PACS в мире. Из примерно 733,5 миллионов изображений можно скачать и просмотреть только 399,5 миллиона.

В Европе самое большое количество пораженных систем. Италия, 10, а также страна с наибольшим количеством утечек медицинской информации.

Наибольшая концентрация незащищенных PACS в Северной Америке наблюдается в США.

Это также страна с наибольшим количеством выставленных наборов данных (13,7 млн.) И медицинскими изображениями, насчитывающими более 300 млн., И экспонированными машинами: 187.

Бразилия лидирует в Южной Америке с 640 000 наборов данных, 31,1 млн изображений и 34 негерметичных серверов.

400 миллионов медицинских рентгенологических изображений, выставленных в Интернете

В Азии наибольшее количество открытых машин находится в Индии, но Турция лидирует по количеству записей данных (4,9 миллиона) и связанных с ними медицинских снимков (4,9 миллиона).

READ  Лучшие стиральные машины 2020 года

В Индии около 100 незащищенных PACS и 627 000 записей с более чем 105 миллионами изображений.

Выявлено более 10 000 уязвимостей

Отчет показывает, что проверенные системы страдают от более чем 10 000 проблем безопасности, 20% из которых помечены значением серьезности.

500 из них выполнили все условия для получения самой высокой оценки в Общей системе оценки уязвимостей (CVSS), 10 из 10.

Исследователи отмечают, что некоторым из выявленных уязвимостей было несколько лет, хотя они не предоставили дополнительных подробностей в публичном отчете. Увеличенная версия, размером 300 МБ, доступна уполномоченным организациям.

Помимо этих проблем, аудит обнаружил, что 45 PACS предоставили данные по небезопасному протоколу, такому как HTTP или FTP, вместо DICOM. Таким образом, данные, хранящиеся на них, могут быть доступны без аутентификации.

У одного из них были файлы архива DICOM, доступные в списке каталогов, позволяющие получить доступ кому угодно через веб-браузер.

Риски, связанные с раскрытием данных такого рода, очевидны. Среди наиболее очевидных. целевые атаки, попытки вымогательства и даже кража медицинских данных с целью получения медицинской помощи или мошенничества в сфере медицинского страхования.