雷鋒網(wǎng) 9 月 21 日消息，總部位于德國(guó)的漏洞分析和管理公司 Greenbone Networks 發(fā)現(xiàn)了可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)的 590 個(gè) PACS 服務(wù)器，允許檢索大約 2430 萬(wàn)個(gè)患者記錄。研究人員建立了一個(gè) RadiAnt DICOM Viewer，用于從暴露的 PACS 服務(wù)器中提取數(shù)據(jù)。在大約 7.335 億張圖像中，有 3.995 億張可以下載和查看。

PACS 系統(tǒng)主要應(yīng)用于醫(yī)療保健行業(yè)，負(fù)責(zé)存儲(chǔ)醫(yī)學(xué)放射檢查過(guò)程生成的圖像，以方便提供給醫(yī)務(wù)人員進(jìn)行分析診斷。這些系統(tǒng)使用 DICOM (醫(yī)學(xué)數(shù)字成像和通信)協(xié)議來(lái)管理和傳輸醫(yī)學(xué)圖像。

這項(xiàng)數(shù)據(jù)泄露研究從 2019 年 7 月中旬起，2019 年 9 月初完結(jié)，這些存在缺陷的醫(yī)學(xué)圖像存儲(chǔ)系統(tǒng)分布在 52 個(gè)國(guó)家，共受到 10000 個(gè)漏洞的影響，其中超過(guò) 500 個(gè)漏洞的嚴(yán)重性評(píng)分為最高(CVSS 10/10)。

大部分被曝光文件包含以下字段：

姓名

出生日期

檢查日期

檢查范圍

成像程序類(lèi)型

主治醫(yī)生

研究所/診所

生成圖像的數(shù)量

研究人員發(fā)現(xiàn)，大多數(shù)不安全的PACS服務(wù)器在美國(guó)，美國(guó)共有 1370 萬(wàn)組數(shù)據(jù)集和 4580 萬(wàn)張圖片可以被隨意訪問(wèn)。除了以上數(shù)據(jù)泄露問(wèn)題，研究人員還發(fā)現(xiàn) 45 個(gè) PACS 系統(tǒng)通過(guò)不安全的協(xié)議（如HTTP或FTP，非DICOM）提供數(shù)據(jù)。因此，這些醫(yī)療數(shù)據(jù)可能會(huì)在傳輸過(guò)程中被竊取，其中某臺(tái)服務(wù)器還存在目錄遍歷問(wèn)題，任何人通過(guò)瀏覽器都能直接訪問(wèn)所有文件。

研究人員估計(jì)，在暗網(wǎng)中，這些數(shù)據(jù)的價(jià)值可能超過(guò) 10 億美元。

來(lái)源：安天；白帽匯

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。