雷鋒網(wǎng) 9 月 21 日消息，總部位于德國的漏洞分析和管理公司 Greenbone Networks 發(fā)現(xiàn)了可以通過互聯(lián)網(wǎng)訪問的 590 個(gè) PACS 服務(wù)器，允許檢索大約 2430 萬個(gè)患者記錄。研究人員建立了一個(gè) RadiAnt DICOM Viewer，用于從暴露的 PACS 服務(wù)器中提取數(shù)據(jù)。在大約 7.335 億張圖像中，有 3.995 億張可以下載和查看。

PACS 系統(tǒng)主要應(yīng)用于醫(yī)療保健行業(yè)，負(fù)責(zé)存儲(chǔ)醫(yī)學(xué)放射檢查過程生成的圖像，以方便提供給醫(yī)務(wù)人員進(jìn)行分析診斷。這些系統(tǒng)使用 DICOM (醫(yī)學(xué)數(shù)字成像和通信)協(xié)議來管理和傳輸醫(yī)學(xué)圖像。

這項(xiàng)數(shù)據(jù)泄露研究從 2019 年 7 月中旬起，2019 年 9 月初完結(jié)，這些存在缺陷的醫(yī)學(xué)圖像存儲(chǔ)系統(tǒng)分布在 52 個(gè)國家，共受到 10000 個(gè)漏洞的影響，其中超過 500 個(gè)漏洞的嚴(yán)重性評(píng)分為最高(CVSS 10/10)。

大部分被曝光文件包含以下字段：

姓名

出生日期

檢查日期

檢查范圍

成像程序類型

主治醫(yī)生

研究所/診所

生成圖像的數(shù)量

研究人員發(fā)現(xiàn)，大多數(shù)不安全的PACS服務(wù)器在美國，美國共有 1370 萬組數(shù)據(jù)集和 4580 萬張圖片可以被隨意訪問。除了以上數(shù)據(jù)泄露問題，研究人員還發(fā)現(xiàn) 45 個(gè) PACS 系統(tǒng)通過不安全的協(xié)議（如HTTP或FTP，非DICOM）提供數(shù)據(jù)。因此，這些醫(yī)療數(shù)據(jù)可能會(huì)在傳輸過程中被竊取，其中某臺(tái)服務(wù)器還存在目錄遍歷問題，任何人通過瀏覽器都能直接訪問所有文件。

研究人員估計(jì)，在暗網(wǎng)中，這些數(shù)據(jù)的價(jià)值可能超過 10 億美元。

來源：安天；白帽匯

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。