Περισσότερες από 45 εκατομμύρια ιατρικές εικόνες, συμπεριλαμβανομένων ακτίνων Χ, εικόνων μαγνητικής και αξονικής τομογραφίας, καθώς και συνοδευτικών δεδομένων, εκτίθενται στο διαδίκτυο σε μη ασφαλείς servers και συσκευές αποθήκευσης.
Την ανακάλυψη έκανε η εταιρεία ασφαλείας CybelAngel κατά τη διάρκεια μιας εξαμηνιαίας έρευνας για την ασφάλεια των ιατρικών συσκευών. Τα εκτεθειμένα ιατρικά δεδομένα έχουν διαρρεύσει από νοσοκομεία και ιατρικά κέντρα από όλο τον κόσμο και σύμφωνα με τους ερευνητές, ένας μη εξουσιοδοτημένος χρήστης μπορεί πολύ εύκολα να αποκτήσει πρόσβαση σε αυτά.
Οι εγκληματίες του κυβερνοχώρου θα μπορούσαν να κλέψουν τις ευαίσθητες ιατρικές πληροφορίες για να τις πουλήσουν στο dark web, να εκβιάσουν τα άτομα στα οποία ανήκουν τα δεδομένα (τα στοιχεία είναι αρκετά για να συνδεθούν με συγκεκριμένα άτομα) ή ακόμη και να χρησιμοποιήσουν τους εκτεθειμένους servers για να διανείμουν ransomware σε νοσοκομειακά δίκτυα.
Να σημειωθεί εδώ, ότι πολλές ιατρικές συσκευές είναι ευάλωτες σε επιθέσεις στον κυβερνοχώρο ή εκθέτουν δεδομένα επειδή η τεχνολογία που χρησιμοποιούν είναι συχνά ξεπερασμένη και δεν δίνεται έμφαση στην ασφάλεια.
Οι ερευνητές κατάφεραν να ανακαλύψουν περισσότερες από 45 εκατομμύρια μοναδικές ιατρικές ψηφιακές εικόνες, που ήταν προσβάσιμες χωρίς τη χρήση hacking εργαλείων ή κωδικoύ πρόσβασης. Οι εικόνες ήταν απλά διαθέσιμες στο διαδίκτυο.
“Τα 45 εκατομμύρια αρχεία βρίσκονται σε μη προστατευμένους servers. Αυτό που βρήκαμε ήταν ότι όλα αυτά τα δεδομένα ήταν διαθέσιμα στον οποιονδήποτε“, δήλωσε ο David Sygula, ανώτερος αναλυτής κυβερνοασφάλειας στη CybelAngel.
Σε ορισμένες περιπτώσεις, υπεύθυνες για τη διαρροή των ιατρικών δεδομένων ήταν μη ασφαλείς NAS συσκευές που χρησιμοποιούσαν τα νοσοκομεία. Επίσης, η χρήση πρωτοκόλλων FTP ή SMB και η αξιοποίηση μη διορθωμένων ευπαθειών θα μπορούσε να παρέχει σε εγκληματίες, πρόσβαση στα μηχανήματα και στα δεδομένα που είναι αποθηκευμένα μέσα.
Οι ερευνητές της CybelAngel εντόπισαν, επίσης, κακόβουλα scripts, συμπεριλαμβανομένων cryptocurrency miners, σε ορισμένους από τους servers που εξέτασαν. Αυτό σημαίνει ότι υπήρχαν ήδη άτομα που είχαν ανακαλύψει τις μη ασφαλείς συσκευές και τις είχαν παραβιάσει.
Η παρακολούθηση ευαίσθητων ιατρικών πληροφοριών όπως οι ακτίνες Χ και άλλες ιατρικές εικόνες είναι αρκετά ενοχλητική, αλλά το χειρότερο είναι ότι οι εγκληματίες θα μπορούσαν να συνδέσουν αυτά τα δεδομένα με τα άτομα στα οποία ανήκουν, αφού υπάρχουν και προσωπικά στοιχεία μέσα σε αυτές τις εικόνες που έχουν διαρρεύσει. Αυτά τα στοιχεία θα μπορούσαν να περιλαμβάνουν ακόμη και το όνομα του ιατρού, το ιατρικό κέντρο , το μέρος του σώματος που απεικονίζεται και το όνομα του ασθενούς ή την ημερομηνία γέννησης. Όλες αυτές οι πληροφορίες θα μπορούσαν ενδεχομένως να χρησιμοποιηθούν για άλλες απάτες.
Οι ερευνητές εντόπισαν μη ασφαλείς servers σε όλο τον κόσμο και δήλωσαν ότι δεν ήταν δυνατό να επικοινωνήσουν με όλα τα νοσοκομεία και τα ιατρικά κέντρα για να τα ενημερώσουν. Γι’ αυτό το λόγο, δημοσίευσαν μια έκθεση με στατιστικά στοιχεία. Όλοι οι πάροχοι υγειονομικής περίθαλψης πρέπει να το θεωρήσουν ως προειδοποίηση και να ελέγξουν την ασφάλεια των δικτύων και των συστημάτων τους.
“Πρόκειται για μια ανησυχητική ανακάλυψη και αποδεικνύει ότι πρέπει να εφαρμοστούν αυστηρότερες διαδικασίες ασφαλείας για την προστασία του τρόπου με τον οποίο κοινοποιούνται και αποθηκεύονται ευαίσθητα ιατρικά δεδομένα από επαγγελματίες υγείας. Είναι απαραίτητη μια ισορροπία μεταξύ ασφάλειας και προσβασιμότητας για να αποφευχθεί μια σημαντική παραβίαση δεδομένων“, είπε ο Sygula.
Πηγή: ZDNet