O time de analistas da empresa de proteção de risco digital CybelAngel descobriu que mais de 45 milhões de arquivos médicos, incluindo raio-X e tomografias computadorizadas, estão disponíveis para acesso gratuitamente em servidores desprotegidos.
As descobertas foram resultado de seis meses de investigação em Network Attached Storage (NAS) e da Digital Imaging and Communications in Medicine (DICOM), o padrão de fato usado por profissionais da saúde para receber e enviar dados médicos.
Entre os dados – extraídos de dispositivos de armazenamento online desprotegidos ligados a hospitais e centros médicos em todo o planeta – estavam 23.000 imagens de pacientes do Reino Unido, deixadas expostas à Internet pública em 90 servidores separados.
As imagens expostas incluíram, em alguns casos, “até 200 linhas de metadados por registro que incluíam PII (informações de identificação pessoal; nome, data de nascimento, endereço, etc.)” e informações pessoais de saúde, incluindo “altura, peso, diagnóstico” do paciente e assim por diante.
“O fato de não termos usado nenhuma ferramenta de hacking em nossa pesquisa destaca a facilidade com que fomos capazes de descobrir e acessar esses arquivos”, disse David Sygula, analista sênior de cibersegurança da CybelAngel e autor do report. “Esta é uma descoberta preocupante e prova que processos de segurança mais rigorosos devem ser implementados para proteger como os dados médicos confidenciais são compartilhados e armazenados por profissionais de saúde. Um equilíbrio entre segurança e acessibilidade é fundamental para evitar que vazamentos se tornem uma grande violação de dados. “
Esse tipo de informação tem um prêmio na dark web, tornando a fraude um risco particular. Além disso, os prestadores de serviços de saúde também estão sujeitos a sanções de acordo com regulamentos como o GDPR na Europa e HIPAA nos EUA, por violação de informações confidenciais do paciente.
A empresa recomendou que as organizações médicas “devem garantir a segmentação de rede adequada de equipamentos de imagem médica conectados” como um meio de evitar que pessoas mal-intencionadas acessem coisas que não deveriam.
Referências:
Betanews, disponível em: Millions of medical images openly available online (betanews.com)
TheRegister, disponível em: 45 million medical scans from hospitals all over the world left exposed online for anyone to view – some servers were laced with malware • The Register
CybelAngel Report, disponível em: Medical Imaging Files Exposed on Unprotected Servers (cybelangel.com)
