Las fugas de datos, por naturaleza, ya son incidentes preocupantes. Cuando hablamos específicamente de datos médicos, entramos en una rama aún más sensible. Así que es impactante saber que, según los investigadores de CyberAngel, alrededor de 45 millones de pruebas de imágenes – incluyendo diagnósticos por radiografía y tomografía – estaban desprotegidos en la web, almacenados en dos mil servidores diferentes.
Los archivos no pertenecían a un solo hospital: procedían de los laboratorios y centros médicos más diversos del mundo, lo que significa que las víctimas también son de diferentes nacionalidades. Solo en el Reino Unido, por ejemplo, había 23.000 documentos. Además de los resultados de los propios diagnósticos, las imágenes contenían información como nombre, edad, dirección, altura, peso, etc.
“El hecho de que no utilizamos ninguna herramienta de piratería en nuestra investigación destaca la facilidad con la que pudimos descubrir y acceder a estos archivos”, dice David Sygula, analista senior de ciberseguridad en CyberAngel. Según el experto, los servidores han estado expuestos durante al menos doce meses y hay indicios de que agentes malintencionados han accedido a los documentos, además de implementar malware en ciertos casos.
Al contrario de lo que se puede imaginar, el problema esta vez no fue una mala configuración en las infraestructuras en la nube, sino una combinación de un sistema de almacenamiento NAS inseguro y no seguro. uso del protocolo DICOM retrógrado (Imágenes y Comunicaciones Digitales en Medicina o Comunicación de Imágenes Digitales en Medicina), un conjunto de normas y estándares para la transmisión de información médica creado en los años 90.
Lo gracioso es que el propio protocolo advierte que, por sí solo, no es seguro, indicando que su uso asume que sus usuarios están “implementando políticas de seguridad apropiadas, que incluyen, entre otras, control de acceso, pistas de auditoría, protección física, mantenimiento de la confidencialidad e integridad de los datos y mecanismos para identificar a los usuarios y sus derechos de acceso a los datos “.
CyberAngel no nombró ni identificó a la persona responsable de tal exhibición histórica.
Fuente: El registro
See the original post at: https://thehack.com.br/45-milhoes-de-exames-medicos-de-pacientes-do-mundo-inteiro-estavam-desprotegidos-na-web/?rand=48889
