近日,依据CybelAngel最新发布的历时六个月的调查研究报告,因为储存、推送和接受诊疗数据的技术性存有安全隐患,全世界早已发现超出4500引马镇医学图像及其与之有关的个人信息信息(PII)和本人保健医疗信息(PHI)线上暴露。
CybelAngel剖析精英团队发现的这种大量暴露数据包含比较敏感的诊疗纪录和图像,例如X射线CT扫描和MRI图像。所有人都能够线上浏览这种数据连接储存(NAS)及其医学数据三维成像和通讯(DICOM)中的暴露数据。
汇报称,CybelAngel剖析精英团队应用专用工具扫描仪了大概43亿次IP地址,在全球医院和医疗中心的连接网络储存设备中发现了超出4500个医学影象及有关个人隐私数据暴露,这种图像被储存在67个我国(包含英国、法国、波兰和俄罗斯)的2140台未受保障的(NAS)网络服务器上。
NAS是一种便宜的存储解决方案,关键由中小型企业或自己用以储存数据,替代更价格昂贵的专用型网络服务器或虚似云主机,而DICOM是诊疗保领域工作人员用以传送医学图像的全世界规范。
科学研究工作人员说,犯罪分子可以利用在暗在网上售卖这种数据来侵害大家的个人隐私,她们还能够应用图像和数据来敲诈勒索病人或根据应用病人数据来创建“鬼魂门诊所”和“鬼魂病人”以诈骗医疗行业。
对病人数据的个人隐私保护特别是在关键,由于当今全球正处在新冠肺炎大流行当中,PII和PHI很有可能对病人的衣食住行及其与她们了解的大家的日常生活发生巨大危害。科学研究工作人员强调,网络攻击还能够浏览数据来伪造患者的病史。
每一个暴露的医学图像通常包括高达200行元数据,主要包括病人的名字,出世日期和详细地址及其他或她的个子、重量、确诊和别的PHI。所有人都能够浏览图像和数据,而不用登录名或登陆密码。科学研究工作人员强调,事实上,在一些地区,患者信息分布式存储乃至可以应用空缺的账户密码登陆。
在一份新闻报道申明中,剖析精英团队强调:“我们在全部研究过程中乃至也没有应用一切黑客软件,这显出了大家发现和浏览这种资料的便利性。这是一个必须引起重视的发现,说明业内务必实行更严苛的安全性步骤来保证医疗专业工作人员安全性地共享资源和储存比较敏感的诊疗数据。”
科学研究员工对MRI,CT扫描仪和X射线等设施的医学图像和数据根据DICOM传送照片归档和通信系统(PAC)的途径做好了剖析。
PACS工作平台通常包含DICOM查看器,该查看器可以以Web应用软件及其机构和合作专用工具的方式存有。尽管这种通讯和传输技术原本便是可靠的,但科研工作人员发现其安全系数并不充足。
剖析工作人员强调:“更糟心的是,目前的DICOM应用软件安全防范措施并不是强制的,默认设置状况下也不会执行。”
在大部分情形下,数据泄露涉及到以很多种方法公布数据的NAS机器设备。这包含容许FTP和SMB协议给予没经认证的第三方浏览机器设备以及数据的不安全端口号,及其容许外界人浏览不安全Web服务的动态DNS(DDNS)。
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章