Link-2-Secure

Cybersecurity and data breach news

Sześciomiesięczne dochodzenie przeprowadzone przez firmę CybelAngel ujawniło wyciek wrażliwych danych pacjentów z 67 krajów.

Ponad 45 milionów zdjęć medycznych – oraz związane z nimi dane osobowe i informacje dotyczące opieki zdrowotnej – zostało ujawnionych w Internecie.

Zespół CybelAngel Analyst Team odkrył wrażliwą dokumentację medyczną – w tym zdjęcia tomografii komputerowej i rezonansu magnetycznego – do których każdy mógł uzyskać dostęp online. Dokumentacja dostępna była w zasobach sieciowych firm korzystających z NAS (rozwiązania pamięci masowej wykorzystywane głównie przez małe firmy lub osoby prywatne do przechowywania danych zamiast płacenia za droższe serwery dedykowane lub wirtualne serwery w chmurze, natomiast DICOM to światowy standard wykorzystywany przez pracowników służby zdrowia do przesyłania obrazów medycznych.

„Zespół analityków CybelAngel wykrył wyciek ponad 45 milionów unikalnych plików obrazowych z urządzeń medycznych na niezabezpieczonych podłączonych urządzeniach pamięci masowej, powiązanych ze szpitalami i ośrodkami medycznymi na całym świecie”, powiedział David Sygula, starszy analityk bezpieczeństwa cybernetycznego w firmie CybelAngel, w raporcie Full Body Exposure, dodając, że wycieki dotyczą danycjh pacjentów aż z 67 krajów.

Wyniki analizy są niepokojące z wielu powodów. Przede wszystkim wykradzione dane mogą naruszać prywatność pacjentów oraz mogą zostać wystawione na sprzedaż w dark necie, gdzie są cennym towarem. Hakerzy mogą również wykorzystywać obrazy i dane do szantażowania pacjentów lub do wyłudzania informacji z systemu medycznego poprzez wykorzystywanie danych pacjentów do zakładania „klinik widmo” i „pacjentów-duchów” w celu wyłudzeń pieniędzy ze środków przeznaczonych na służbę zdrowia. Podmioty stanowiące zagrożenie lub mające złe intencje również mogą wykorzystać dostęp do danych w celu zmodyfikowania czyjejś dokumentacji medycznej co może mieć krytyczne następstwa.

Jak wynika z raportu, narzędzia CybelAngel przeskanowały około 4,3 mld adresów IP w celu wykrycia obrazów, które pozostały na ponad 2 140 niezabezpieczonych serwerach w 67 krajach, w tym w Stanach Zjednoczonych, Wielkiej Brytanii, Francji i Niemczech.

Obrazy zawierały zazwyczaj do 200 linii metadanych, które zawierały imię i nazwisko, datę urodzenia i adres pacjenta, a także jego wzrost, wagę, diagnozę i inne informacje medyczne (Protected Health Information). Każdy mógł uzyskać dostęp do obrazów i danych bez konieczności podawania nazwy użytkownika lub hasła – co więcej, zdarzały się przypadki gdzie portale logowania do systemów przechowujących informacje akceptowały puste nazwy użytkowników i hasła.

„Fakt, że w trakcie naszych badań nie używaliśmy żadnych narzędzi hakerskich, podkreśla łatwość, z jaką mogliśmy odkryć i uzyskać dostęp do tych plików”, powiedział Sygula w oświadczeniu prasowym. „(…) Należy wprowadzić bardziej rygorystyczne procesy bezpieczeństwa w celu ochrony tego, jak poufne dane medyczne są udostępniane i przechowywane przez pracowników służby zdrowia”.

Analitycy zbadali proces jaki jest wykorzystywany do przekazywania obrazów i danych medycznych pobieranych z urządzeń takich jak MRI, tomografy komputerowe i promieniowanie rentgenowskie za pomocą protokołu DICOM do scentralizowanego systemu archiwizacji i komunikacji obrazów (PAC), który przechowuje i dystrybuuje obrazy: stacje robocze PACS (systemy archiwizacji obrazu i komunikacji – ang. picture archiving and communication system, w skrócie PACS) zazwyczaj zawierają przeglądarki DICOM, które mogą istnieć w postaci aplikacji internetowych, jak również narzędzi organizacyjnych i narzędzi do współpracy. Środki komunikacji i transferu powinny być bezpieczne, analitycy natomiast odkryli, że bezpieczeństwo jest w najlepszym wypadku „niewystarczające”.

„Co gorsza, istniejące środki bezpieczeństwa aplikacji DICOM nie są obowiązkowe i nie są domyślnie wdrażane”, napisał Sygula.

W większości przypadków, wyciek dotyczył urządzeń NAS, które pozwalały na uzyskanie dostepu do danych na wiele sposobów – poprzez niezabezpieczone porty pozwalające protokołom FTP i SMB na zapewnienie nieupoważnionym osobom trzecim dostępu do urządzeń i ich danych, a także dynamiczny DDNS (Dynamic DNS) dający osobom z zewnątrz dostęp do niezabezpieczonych usług internetowych.