據(jù)外媒 Securityaffairs 報道,德國漏洞分析和管理公司 Greenbone Networks 的專家發(fā)現(xiàn),600 個未受保護的服務(wù)器暴露于互聯(lián)網(wǎng),這些服務(wù)器包含大量醫(yī)療放射圖像。其中,有超過 7.37 億個放射圖像,涉及 2000 多萬人,影響到 52 個國家的患者。
?
?
筆者注意到,中國有 14 個未受保護的 PACS 服務(wù)器系統(tǒng),泄露 279000 個數(shù)據(jù)記錄。
Greenbone Networks 的研究于 2019 年 7 月中旬至 2019 年 9 月初進行。據(jù)悉,該公司的研究人員分析了大約 2300 個在線的醫(yī)學(xué)影像歸檔和通信系統(tǒng) ( PACS )。
公開資料表明,PACS 系統(tǒng)是應(yīng)用于醫(yī)院影像科室,主要任務(wù)是把日常產(chǎn)生的各種醫(yī)學(xué)影像(包括核磁、CT、各種 X 光機等設(shè)備產(chǎn)生的圖像)通過各種接口(模擬、DICOM、網(wǎng)絡(luò))以數(shù)字化的方式海量保存起來。當(dāng)需要時,在一定授權(quán)下,可以快速調(diào)回,同時增加一些輔助診斷管理功能。
這些 PACS 系統(tǒng)使用醫(yī)學(xué)數(shù)字成像和通信 (DICOM)標(biāo)準(zhǔn)來管理醫(yī)學(xué)成像數(shù)據(jù)。
這些未受保護的醫(yī)學(xué)影像歸檔和通信系統(tǒng)位于 52 個國家,專家們發(fā)現(xiàn)它們受到 10000 個漏洞的影響,其中 500 多個被評為最高嚴(yán)重性評分。
?
?
Greenbone Networks 專家發(fā)現(xiàn)了 590 臺 PACS 服務(wù)器,這些服務(wù)器可以檢索到大約 2430 萬患者記錄。
“分析的全球 2300 個檔案系統(tǒng)中,有 590 個已經(jīng)被確定為可以在互聯(lián)網(wǎng)上公開訪問;它們共同收集了 52 個國家的 2400 多萬份患者數(shù)據(jù)記錄。”Greenbone 的報告寫道,“這個患者數(shù)據(jù)中有超過 7.37 億個醫(yī)學(xué)放射圖像,其中大約有 4 億個放射圖像可以訪問,或者能從互聯(lián)網(wǎng)上輕松下載。”
此外,還有 39 個系統(tǒng)允許通過未加密的 HTTP Web Viewer 訪問患者數(shù)據(jù),沒有任何保護。
這些患者數(shù)據(jù)記錄非常詳細,大多包括以下個人和醫(yī)療細節(jié):
名字和姓氏; 出生日期; 審查日期; 調(diào)查范圍; 成像程序的類型; 主治醫(yī)師; 研究所 / 診所;
生成的圖像數(shù)量
攻擊者可以利用這些信息部署和實施更有效的社交工程和網(wǎng)絡(luò)釣魚攻擊,從而最終獲得金錢。
研究人員使用 RadiAnt DICOM Viewer 分析來自網(wǎng)上暴露的開放式 PACS 服務(wù)器的數(shù)據(jù),在 7.335 億張醫(yī)學(xué)放射圖像中,有 3.995 億張放射圖像可以下載和查看。
?
?
在歐洲,意大利受影響的系統(tǒng)數(shù)量最多,有 10 個,它也是泄露醫(yī)療信息數(shù)量最多的國家,有 10.03 萬數(shù)據(jù)集,580 萬醫(yī)療放射圖像。
?
?
在北美,數(shù)量最多未受保護的 PACS 系統(tǒng)是在美國,同時它也是數(shù)據(jù)集暴露最多的國家,有 1370 萬數(shù)據(jù)集,超過 3 億張醫(yī)學(xué)圖像,暴露的機器系統(tǒng)是 187。
?
?
在南美,巴西的數(shù)據(jù)泄露“遙遙領(lǐng)先”,有 64 萬數(shù)據(jù)集,3110 萬個醫(yī)學(xué)圖像,34 個泄露的服務(wù)器。
在亞洲,數(shù)量最多的開放式機器是在印度,但是土耳其泄露的數(shù)據(jù)記錄(490 萬)和醫(yī)學(xué)放射圖像(490 萬)確是處于領(lǐng)先地位。
?
?
在印度,有接近 100 個未受保護的 PACS 系統(tǒng),627000 個記錄,超過 1.05 億張醫(yī)學(xué)圖像。
除了這些問題,審計發(fā)現(xiàn) 45 個 PACS 可以通過 HTTP 或 FTP 等不安全協(xié)議提供數(shù)據(jù),而不是 DICOM。
因此,無需認(rèn)證,即可訪問存儲在其上的數(shù)據(jù)。
其中,一個目錄列表提供 DICOM 存檔文件,允許通過 Web 瀏覽器訪問任何人。
研究人員估計,暗網(wǎng)上泄露數(shù)據(jù)的價值可能超過 10 億美元。美國衛(wèi)生與人類服務(wù)部(HHS)4 月份發(fā)布的一份報告估計,暗網(wǎng)上醫(yī)療健康記錄數(shù)據(jù)的平均價值為 250 美元,但有可能接近 1000 美元,因此網(wǎng)絡(luò)犯罪分子對這類信息絕對感興趣。
無疑,這類數(shù)據(jù)的泄露風(fēng)險非常大。其中,最明顯的是針對性攻擊、敲詐勒索,甚至是通過醫(yī)療身份盜竊來實施醫(yī)療或健康保險欺詐。
這份報告總結(jié)道,“這些數(shù)據(jù)可被攻擊者用于各種目的,包括發(fā)布個人姓名和圖像來損害一個人的聲譽;將數(shù)據(jù)與暗網(wǎng)其他數(shù)據(jù)連接起來,讓網(wǎng)絡(luò)釣魚和社交工程更加有效;閱讀并自動處理數(shù)據(jù)來搜索有價值的身份信息,例如社會安全號碼用來盜用身份。”
相關(guān)文章:More than 737 million medical radiological images found on open PACS servers
作者:萬佳
