Os dados médicos consistem em detalhes pessoais e de saúde altamente confidenciais. Se estiver abertamente disponível para qualquer pessoa, dados médicos podem ser usados de várias maneiras. Infelizmente, vimos muitas violações médicas, e a tendência continua.
O relatório: 45 Milhões de imagens médicas e registros acessíveis sem senha
Pesquisadores de segurança da CybelAngel descobriram recentemente que mais de 45 milhões de imagens médicas, incluindo raios-X e tomografias computadorizadas, pode ser acessado gratuitamente em servidores desprotegidos. A equipe de pesquisa realizou uma investigação de 6 meses de armazenamento conectado à rede (NAS) e Imagem Digital e Comunicações em Medicina (DICOM), ou o padrão para o setor de saúde enviar e receber dados médicos. O protocolo DICOM e as vulnerabilidades do servidor PACS são os responsáveis por este incidente.
Os dados foram coletados de dispositivos de armazenamento online associados a centros médicos em todo o mundo. 23,000 imagens de pacientes do Reino Unido também foram expostas em 90 servidores separados. As varreduras de raios-X e CT podem ser acessadas abertamente devido a dispositivos de armazenamento NAS inseguros em combinação com o obsoleto protocolo de transmissão de dados médicos DICOM.
O vulnerável, informações confidenciais também incluem informações pessoais de saúde, conhecido como PHI. Esta informação foi descoberta sem criptografia e sem proteção de senha no local. Mais especificamente, as imagens médicas vieram junto com até 200 linhas de metadados por registro com PII e PHI incluídos.
PII, ou informações de identificação pessoal, refere-se a nomes, datas de nascimento, endereços físicos, etc., Considerando que PHI ou informações pessoais de saúde cobrem altura, peso, diagnóstico médico. Toda essa abundância de PII e PHI pode ser acessada sem o uso de credenciais de login. Os pesquisadores até descobriram instâncias em que os portais de login aceitavam nomes de usuário e senhas em branco.
A equipe de pesquisa não precisou usar nenhuma ferramenta de hacking durante a pesquisa. A facilidade com que eles conseguiram acessar os dados médicos é incrível.
“Esta é uma descoberta preocupante e prova que processos de segurança mais rigorosos devem ser colocados em prática para proteger como os dados médicos confidenciais são compartilhados e armazenados por profissionais de saúde. Um equilíbrio entre segurança e acessibilidade é fundamental para evitar que vazamentos se tornem uma grande violação de dados,” explicou David Sygula, analista sênior de segurança cibernética na CybelAngel e autor do relatório.
O resultado das violações de dados médicos
A natureza altamente sensível dos dados e imagens médicas pode levar a vários resultados maliciosos, especialmente quando chega à Dark Web. Pode ser explorado para extorsão e fraude, entre outros cenários. O fato de que os profissionais de saúde deixaram esses registros médicos abertamente acessíveis, sem proteção, não deve ser subestimado. Sanções com base no GDPR na Europa e HIPAA nos Estados Unidos podem seguir devido à violação de dados confidenciais do paciente.
Mais detalhes são disponível no relatório.
Ano passado, pesquisadores de segurança descobriram duas vulnerabilidades em dispositivos médicos, um dos quais era crítico e poderia permitir o controle total do dispositivo. As falhas residiam nas estações de trabalho Alaris Gateway da Becton Dickinson, utilizado para fornecer medicação fluida.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: