新的研究发现，由于用于存储、发送和接收医疗数据的技术本身的不安全性，使得超过4500万张医疗图像以及与之相关的个人身份信息(PII)和个人医疗信息(PHI)被暴露在网上。

CybelAngel分析团队的研究人员对网络附加存储（NAS）和医学中的数字成像和通信（DICOM）进行的为期六个月的调查中发现了敏感的医疗记录和图像，这其中包括X射线CT扫描和核磁共振图像，任何人都可以在线访问这些资料。

NAS是一种廉价的存储解决方案，主要用于小型公司或个人存储数据，而不是通常支付更昂贵的钱来购买专用服务器或虚拟云服务器，而DICOM是医疗行业用于传输医学图像的行业标准。

"CybelAngel分析团队检测到医疗设备泄露了超过4500万个成像的文件，这些文件存储在未受保护的设备上，它们来自于全球的医院和医疗中心。"CybelAngel高级网络安全分析师David Sygula在报告《Full Body Exposure》中说，并补充说道，在其中发现了67个国家的数据的泄漏。

研究人员说，黑客攻击者可以在暗网上出售数据来侵犯别人的隐私，在暗网上，数据是一种有价值的商品。他们还可以利用这些图像和数据来勒索病人，或者利用病人的数据建立 "幽灵诊所 "和 "幽灵病人 "来攻击医疗系统。

此外，相比而言，患者的隐私更为重要，因为目前世界正处于疫情流行期间，PII和PHI可能会对患者的生活及其接触过的人的生活产生重大影响。研究人员指出，黑客攻击者或有其他不良意图的人也可以访问数据来达到修改某人的医疗记录的目的。

CybelAngel使用工具扫描了大约43亿个IP地址来查找这些图像，根据报告，这些图像暴露在67个国家的2140多个未受保护的服务器上，其中包括美国、英国、法国和德国。

每张图像通常包括多达200行的元数据，每条记录包括患者的姓名、出生日期和地址，以及他或她的身高、体重、诊断和其他PHI。任何人都可以访问这些图像和数据，而无需用户名或者密码 ；事实上，在某些情况下，登录存储有用户信息的系统可以使用空白用户名和密码，研究人员说。"事实上，我们在整个研究过程中没有使用任何黑客工具，这显现了我们可以轻松发现和访问这些文件，"Sygula在一份新闻声明中说。"这是一个很重大的发现，我们必须制定更严格的安全访问流程，以保护医疗专业人员共享和存储的敏感医疗数据。"

PACS工作站通常包括DICOM查看器，它可以以网络应用的形式存在。虽然通信和传输方式是安全的，但研究人员发现，安全性是 "远远不够的"。

"更糟糕的是，现有的DICOM应用安全措施并不是强制使用的，也不是默认应用的，"Sygula写道。

在大多数情况下，数据泄漏涉及一个NAS设备，但是同时又会以多种方式进行数据泄露。这些方式包括FTP和SMB协议允许未经授权的第三方访问设备和数据进行访问，以及动态DNS（DDNS）允许外部人员访问不安全的网络服务。

CybelAngel为医疗机构提供了一些简单的建议，以避免将敏感数据给未经授权的人查看。研究人员建议他们应该确保疫情响应措施不违反当前的安全政策，以及将连接的医疗成像设备适当分割在不同的网络中。

CybelAngel还建议医疗机构对第三方合作伙伴进行审核，确保他们也符合数据访问的规定，这样数据才不会在传输过程中发生泄露。

本文翻译自：https://threatpost.com/million-medical-images-online/162284/如若转载，请注明原文地址：