Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wyciek zdjęć medycznych (400 milionów sztuk!) + danych osobowych z 52 krajów.

17 września 2019, 18:32 | Aktualności | komentarzy 7

Nikt wysokiej rozdzielczości zdjęć z badań nie będzie trzymał pod biurkiem. Raczej korzysta się z centralnych systemów, a centralne systemy dostępne są z Internetu (przecież jakoś trzeba te dane tam wgrać ;-). W tym badaniu pokazano podatne systemy PACS (Picture Archiving and Communication Systems) rozsiane po całym świecie. Wyniki są zatrważające:

Of the 2,300 archive systems worldwide that were analyzed, 590 of them have been identified as accessible on the internet; together they contain over 24 million data records from patients from across 52 countries. There are more than 737 million images linked to this patient data, around 400 million of which are accessible or can be easily downloaded from the internet.

Są też systemy które dostępne są po HTTP (bez szyfrowania) – ot wrażliwe dane latają sobie po całym Internecie:

In addition, there are 39 systems that allow access to patient data via an unencrypted HTTP Web Viewer, without any protection.

Jak namierzone zostały urządzenia? Po protokole DICOM. Używają go np. maszyny do rezonansu magnetycznego, tomografii komputerowej czy klasycznych prześwietleń promieniowaniem X.

The DICOM protocol uses ports 104/TCP and 11112/TCP as standard for communication between DICOM-enabled applications

DICOM

Jak widać, z jednej strony system zasilają urządzenia, z drugiej możliwe jest podglądanie wyników. Jeśli stosowny port TCP był otwarty, badacze użyli ogólnodostępnego klienta DICOM i po prostu pobrali dane (oczywiście nie wszystkie – to tylko nomen omen badanie…). Dla większości przypadków udało się również pobrać dane osobowe takie jak:

  • Imię / Nazwisko
  • Data urodzenia
  • Zakres badania
  • Kto wykonywał badanie
  • Gdzie

Z innych ciekawostek – udało się znaleźć jeden system, który posiadał udostępniony na zewnątrz serwer ftp z anonimowym dostępem (tak, były na nim dane medyczne). Badacze pokusili się też o sprawdzenie podstawowych podatności na adresach IP gdzie działał DICOM. Tu też niezbyt zielono:

Podatności…

Na koniec informacja, na którą czekają chyba wszyscy – czy spośród wskazanych krajów (w zasadzie na całym świecie) jest Polska? Na szczęście – nie:

Kraje dotknięte wyciekiem

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Adrian

    Gdyby w powiązanych danych były diagnozy to jeszcze można się pokusić o wsparcie środowiska AI :)

    Odpowiedz
  2. Filip

    Z miejsca przypomina mi to sytuację sprzed kilku lat gdy na serwerze FTP z anonimowym dostępem należącym do łódzkiego umedu leżały paczki z dicomami zawierające wyniki badań radiologicznych wraz z danymi pacjentów, a precyzyjne linki do nich można było znaleźć w wystawionym na świat webalizerze.

    Odpowiedz
  3. fdlakj

    no pytanie, czy Polski nie ma bo nie ma pacjentów z Polski … czy też placówki medyczne korzystajace z tego systemu są podpięte pod bramkę np. w USA lub Niemczech i polscy pacjenci wpadają do statystyki innego kraju.

    Odpowiedz
    • Paweł

      Robiłem rezonans dwukrotnie, wyniki dostałem na płycie cd. Więc u nas się po prostu nie korzysta jeszcze z clouda ;)

      Odpowiedz
      • Adam

        Ty dostajesz na CD, ale dicom ląduje również na serwerze szpitala, aby lekarz miał dostęp do niego z systemu informatycznego.

        Odpowiedz
      • Robert

        Badanie na płycie CD/DVD.
        Branża funkcjonuje w technologicznym średniowieczu, ale z tej perspektywy przynajmniej bezpiecznie.

        Odpowiedz
  4. Jan

    A ktoś mi może powiedzieć jak znaleźć takie nie zabezpieczone PACS-y

    Odpowiedz

Odpowiedz