Los datos médicos se componen de datos personales y de salud muy sensibles. Si está abiertamente disponible para cualquiera, los datos médicos se pueden abusar de muchas formas. Desafortunadamente, hemos visto muchas infracciones médicas, y la tendencia sigue.
El informe: 45 Millones de imágenes y registros médicos accesibles sin contraseña
Los investigadores de seguridad de CybelAngel descubrieron recientemente que más de 45 millones de imágenes médicas, incluyendo radiografías y tomografías computarizadas, se puede acceder libremente en servidores desprotegidos. El equipo de investigación realizó una investigación de 6 meses de almacenamiento adjunto a la red (NAS) e imagenología digital y comunicaciones en medicina (DICOM), o el estándar para la industria de la salud para enviar y recibir datos médicos. El protocolo DICOM y las vulnerabilidades del servidor PACS tienen la culpa de este incidente..
Los datos se han recopilado de dispositivos de almacenamiento en línea asociados con centros médicos de todo el mundo.. 23,000 también se expusieron imágenes de pacientes del Reino Unido en 90 servidores separados. Se podía acceder abiertamente a las radiografías y tomografías computarizadas debido a los dispositivos de almacenamiento NAS no seguros en combinación con el protocolo obsoleto de transmisión de datos médicos DICOM.
El vulnerable, La información confidencial también incluye información médica personal., brevemente conocido como PHI. Esta información se descubrió sin cifrar y sin protección con contraseña.. Más específicamente, las imágenes médicas se juntaron con hasta 200 líneas de metadatos por registro con PII y PHI incluidos.
PII, o información de identificación personal, se refiere a nombres, fechas de nacimiento, direcciones físicas, etc, mientras que la PHI o la información médica personal cubre la altura, peso, diagnostico medico. Se puede acceder a toda esta abundancia de PII y PHI sin usar credenciales de inicio de sesión. Los investigadores incluso descubrieron casos en los que los portales de inicio de sesión aceptaban nombres de usuario y contraseñas en blanco..
El equipo de investigación no necesitó utilizar ninguna herramienta de piratería durante la investigación.. La facilidad con la que lograron acceder a los datos médicos es asombrosa.
“Este es un descubrimiento preocupante y demuestra que se deben implementar procesos de seguridad más estrictos para proteger cómo los profesionales de la salud comparten y almacenan los datos médicos sensibles. Un equilibrio entre la seguridad y la accesibilidad es imperativo para evitar que las fugas se conviertan en una importante filtración de datos.,” explicó David Sygula, analista senior de ciberseguridad en CybelAngel y autor del informe.
El resultado de las violaciones de datos médicos
La naturaleza altamente sensible de las imágenes y los datos médicos puede conducir a varios resultados maliciosos, especialmente cuando llega a la Dark Web. Puede ser explotado para extorsión y fraude., entre otros escenarios. No se debe subestimar el hecho de que los proveedores de atención médica dejaron estos registros médicos a la vista y sin protección.. Las sanciones basadas en GDPR en Europa y HIPAA en los Estados Unidos pueden seguir debido a la violación de datos confidenciales de pacientes.
Más detalles son disponible en el informe.
El año pasado, investigadores de seguridad descubiertos dos vulnerabilidades en dispositivos médicos, uno de los cuales era crítico y podía permitir el control total del dispositivo. Las fallas residían en las estaciones de trabajo Alaris Gateway de Becton Dickinson, utilizado para administrar medicación líquida.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: