Exames médicos de mais de 45 milhões de pacientes estavam expostos na Internet

A equipe de analistas da CybelAngel , líder global em proteção digital contra riscos, descobriu que mais de 45 milhões de arquivos de imagens médicas, incluindo raios-X e tomografias computadorizadas , são acessíveis gratuitamente em dispositivos não protegidos servidores, em um novo relatório de pesquisa que foi divulgado em 15 de dezembro.

O relatório chamado “ Full Body Exposure ” é o resultado de uma investigação de seis meses sobre Network Attached Storage (NAS) e Digital Imaging and Communications in Medicine (DICOM), o padrão de fato usado por profissionais de saúde para enviar e receber dados médicos. 

Os analistas descobriram que milhões de imagens confidenciais, incluindo informações pessoais de saúde (PHI), estavam disponíveis sem criptografia e sem proteção por senha.

As ferramentas do CybelAngel verificaram aproximadamente 4,3 bilhões de endereços IP e detectaram mais de 45 milhões de imagens médicas exclusivas deixadas expostas em mais de 2.140 servidores desprotegidos em 67 países, incluindo os EUA, Reino Unido e Alemanha.

Segundo os analistas, foram descobertas imagens médicas disponíveis abertamente, incluindo até 200  linhas de metadados por registro que incluíam PII (informações de identificação pessoal; nome, data de nascimento, endereço, etc.) e PHI (altura, peso, diagnóstico, etc.), poderiam ser acessado sem a necessidade de um nome de usuário ou senha. Em alguns casos, os portais de login aceitam nomes de usuário e senhas em branco.

“O fato de não termos usado nenhuma ferramenta de hacking em nossa pesquisa destaca a facilidade com que fomos capazes de descobrir e acessar esses arquivos”, disse David Sygula, Analista Sênior de Segurança Cibernética da CybelAngel e autor do relatório. 

“Esta é uma descoberta preocupante e prova que processos de segurança mais rigorosos devem ser implementados para proteger como os dados médicos confidenciais são compartilhados e armazenados por profissionais de saúde. Um equilíbrio entre segurança e acessibilidade é fundamental para evitar que vazamentos se tornem uma grande violação de dados”, completou

“Os centros médicos trabalham com uma vasta rede interconectada de provedores terceirizados e a nuvem é uma plataforma essencial para compartilhar e armazenar dados. No entanto, lacunas de segurança como essa representam um risco enorme, tanto para os indivíduos cujos dados estão comprometidos quanto para as instituições de saúde que são regidas por regulamentações para proteger os dados dos pacientes. O setor de saúde enfrentou desafios sem precedentes este ano, no entanto, a segurança e a privacidade dos registros mais pessoais de seus pacientes devem ser protegidas, para evitar que dados altamente confidenciais caiam em mãos erradas ”, disse Todd Carroll da CybelAngel (CISO).

O relatório destaca os riscos de segurança de imagens publicamente acessíveis contendo informações altamente pessoais, incluindo ransomware e chantagem. A fraude é um risco particular, pois esse tipo de imagem tem um valor especial na dark web.

Do ponto de vista da conformidade, os provedores de saúde também estão sujeitos a sanções de acordo com regulamentos como o GDPR na Europa e HIPAA nos EUA, por violação de informações confidenciais de pacientes.

CybelAngel informa que existem etapas simples que as instalações de saúde podem seguir para proteger a maneira como compartilham e armazenam dados.

O relatório completo pode ser encontrado aqui: https://cybelangel.com/medical-data-breaches/?utm_source=press_release&utm_medium=media&utm_campaign=full_body_exposure

*Redação

*Foto: Pixabay