据外媒Securityaffairs报道，德国漏洞分析和管理公司Greenbone Networks的专家发现，600个未受保护的服务器暴露于互联网，这些服务器包含大量医疗放射图像。其中，有超过7.37亿个放射图像，涉及2000多万人，影响到52个国家的患者。

笔者注意到，中国有14个未受保护的PACS服务器系统，泄露279000个数据记录。

Greenbone Networks的研究于2019年7月中旬至2019年9月初进行。据悉，该公司的研究人员分析了大约2300个在线的医学影像归档和通信系统(PACS）。

公开资料表明，PACS系统是应用于医院影像科室，主要任务是把日常产生的各种医学影像（包括核磁、CT、各种X光机等设备产生的图像）通过各种接口（模拟、DICOM、网络）以数字化的方式海量保存起来。当需要时，在一定授权下，可以快速调回，同时增加一些辅助诊断管理功能。

这些PACS系统使用医学数字成像和通信(DICOM）标准来管理医学成像数据。

这些未受保护的医学影像归档和通信系统位于52个国家，专家们发现它们受到10000个漏洞的影响，其中500多个被评为最高严重性评分。

Greenbone Networks专家发现了590台PACS服务器，这些服务器可以检索到大约2430万患者记录。

“分析的全球2300个档案系统中，有590个已经被确定为可以在互联网上公开访问；它们共同收集了52个国家的2400多万份患者数据记录。”Greenbone的报告写道，“这个患者数据中有超过7.37亿个医学放射图像，其中大约有4亿个放射图像可以访问，或者能从互联网上轻松下载。”

此外，还有39个系统允许通过未加密的HTTP Web Viewer访问患者数据，没有任何保护。

这些患者数据记录非常详细，大多包括以下个人和医疗细节：

名字和姓氏；
出生日期；
审查日期；
调查范围；
成像程序的类型；
主治医师；
研究所/诊所；
生成的图像数量

攻击者可以利用这些信息部署和实施更有效的社交工程和网络钓鱼攻击，从而最终获得金钱。

研究人员使用RadiAnt DICOM Viewer分析来自网上暴露的开放式PACS服务器的数据，在7.335亿张医学放射图像中，有3.995亿张放射图像可以下载和查看。

在欧洲，意大利受影响的系统数量最多，有10个，它也是泄露医疗信息数量最多的国家，有10.03万数据集，580万医疗放射图像。

在北美，数量最多未受保护的PACS系统是在美国，同时它也是数据集暴露最多的国家，有1370万数据集，超过3亿张医学图像，暴露的机器系统是187。

在南美，巴西的数据泄露“遥遥领先”，有64万数据集，3110万个医学图像，34个泄露的服务器。

在亚洲，数量最多的开放式机器是在印度，但是土耳其泄露的数据记录（490万）和医学放射图像（490万）确是处于领先地位。

在印度，有接近100个未受保护的PACS系统，627000个记录，超过1.05亿张医学图像。

除了这些问题，审计发现45个PACS可以通过HTTP或FTP等不安全协议提供数据，而不是DICOM。

因此，无需认证，即可访问存储在其上的数据。

其中，一个目录列表提供DICOM存档文件，允许通过Web浏览器访问任何人。

研究人员估计，暗网上泄露数据的价值可能超过10亿美元。美国卫生与人类服务部（HHS）4月份发布的一份报告估计，暗网上医疗健康记录数据的平均价值为250美元，但有可能接近1000美元，因此网络犯罪分子对这类信息绝对感兴趣。

无疑，这类数据的泄露风险非常大。其中，最明显的是针对性攻击、敲诈勒索，甚至是通过医疗身份盗窃来实施医疗或健康保险欺诈。

这份报告总结道，“这些数据可被攻击者用于各种目的，包括发布个人姓名和图像来损害一个人的声誉；将数据与暗网其他数据连接起来，让网络钓鱼和社交工程更加有效；阅读并自动处理数据来搜索有价值的身份信息，例如社会安全号码用来盗用身份。”

相关文章：
More than 737 million medical radiological images found on open PACS servers

创作场景

全球 7.37 亿医疗数据泄露，涉及 2000 多万人，波及 52 国