全球 7.37 亿医疗数据泄露，涉及 2000 多万人，波及 52 国

据外媒Securityaffairs报道，德国漏洞分析和管理公司 Greenbone Networks 的专家发现，600 个未受保护的服务器暴露于互联网，这些服务器包含大量医疗放射图像。其中，有超过 7.37 亿个放射图像，涉及 2000 多万人，影响到 52 个国家的患者。

笔者注意到，中国有 14 个未受保护的 PACS 服务器系统，泄露 279000 个数据记录。

Greenbone Networks的研究于 2019 年 7 月中旬至 2019 年 9 月初进行。据悉，该公司的研究人员分析了大约 2300 个在线的医学影像归档和通信系统(PACS）。

公开资料表明，PACS 系统是应用于医院影像科室，主要任务是把日常产生的各种医学影像（包括核磁、CT、各种 X 光机等设备产生的图像）通过各种接口（模拟、DICOM、网络）以数字化的方式海量保存起来。当需要时，在一定授权下，可以快速调回，同时增加一些辅助诊断管理功能。

这些 PACS 系统使用医学数字成像和通信(DICOM）标准来管理医学成像数据。

这些未受保护的医学影像归档和通信系统位于 52 个国家，专家们发现它们受到 10000 个漏洞的影响，其中 500 多个被评为最高严重性评分。

Greenbone Networks 专家发现了 590 台 PACS 服务器，这些服务器可以检索到大约 2430 万患者记录。

“分析的全球 2300 个档案系统中，有 590 个已经被确定为可以在互联网上公开访问；它们共同收集了 52 个国家的 2400 多万份患者数据记录。”Greenbone 的报告写道，“这个患者数据中有超过 7.37 亿个医学放射图像，其中大约有 4 亿个放射图像可以访问，或者能从互联网上轻松下载。”

此外，还有 39 个系统允许通过未加密的 HTTP Web Viewer 访问患者数据，没有任何保护。

这些患者数据记录非常详细，大多包括以下个人和医疗细节：

名字和姓氏；

出生日期；

审查日期；

调查范围；

成像程序的类型；

主治医师；

研究所/诊所；

生成的图像数量

攻击者可以利用这些信息部署和实施更有效的社交工程和网络钓鱼攻击，从而最终获得金钱。

研究人员使用 RadiAnt DICOM Viewer 分析来自网上暴露的开放式 PACS 服务器的数据，在 7.335 亿张医学放射图像中，有 3.995 亿张放射图像可以下载和查看。

在欧洲，意大利受影响的系统数量最多，有 10 个，它也是泄露医疗信息数量最多的国家，有 10.03 万数据集，580 万医疗放射图像。

在北美，数量最多未受保护的 PACS 系统是在美国，同时它也是数据集暴露最多的国家，有 1370 万数据集，超过 3 亿张医学图像，暴露的机器系统是 187。

在南美，巴西的数据泄露“遥遥领先”，有 64 万数据集，3110 万个医学图像，34 个泄露的服务器。

在亚洲，数量最多的开放式机器是在印度，但是土耳其泄露的数据记录（490 万）和医学放射图像（490 万）确是处于领先地位。

在印度，有接近 100 个未受保护的 PACS 系统，627000 个记录，超过 1.05 亿张医学图像。

除了这些问题，审计发现 45 个 PACS 可以通过 HTTP 或 FTP 等不安全协议提供数据，而不是 DICOM。

因此，无需认证，即可访问存储在其上的数据。

其中，一个目录列表提供 DICOM 存档文件，允许通过 Web 浏览器访问任何人。

研究人员估计，暗网上泄露数据的价值可能超过 10 亿美元。美国卫生与人类服务部（HHS）4 月份发布的一份报告估计，暗网上医疗健康记录数据的平均价值为 250 美元，但有可能接近 1000 美元，因此网络犯罪分子对这类信息绝对感兴趣。

无疑，这类数据的泄露风险非常大。其中，最明显的是针对性攻击、敲诈勒索，甚至是通过医疗身份盗窃来实施医疗或健康保险欺诈。

这份报告总结道，“这些数据可被攻击者用于各种目的，包括发布个人姓名和图像来损害一个人的声誉；将数据与暗网其他数据连接起来，让网络钓鱼和社交工程更加有效；阅读并自动处理数据来搜索有价值的身份信息，例如社会安全号码用来盗用身份。”

相关文章：

More than 737 million medical radiological images found on open PACS servers