德國漏洞分析暨管理公司Greenbone Networks在本周公布一項研究報告,指出有大量的醫療影像儲存系統(Picture Archiving and Communication System,PACS)配置不當,而讓數億張的醫療影像在網路上曝光。

PACS為醫療院所專門用來存放諸如X光、電腦斷層掃描與核磁共振等醫療影像的系統,透過醫療數位影像傳輸協定(Digital Imaging and Communications in Medicine,DICOM)來儲存及共享病人及影像資訊,也能在網路上發現這些系統的蹤跡。

然而,當Greenbone Networks掃描了網路上的2,300個PACS系統時,發現在全球52個國家有590個PACS系統缺乏密碼保護,也未加密,曝露了2,400萬名病患的7億張醫療影像,且當中有4億張是可下載的,其它可存取的資訊還包括病患姓名、生日、檢查時間、主治醫師及所屬醫療院所等。

研究人員表示,這些門戶大開的PACS系統,完全不需要具備駭客能力或攻擊工具就能進出自如,只要利用免費工具並知道相關的IP,即可檢視與下載內容。

在這590個不設防的PACS系統中,有187個位於美國,曝露1,370萬名病患資料,有36個位於土耳其,曝露490萬名病患資料,有34個位於巴西,曝露64萬名病患資料。

除了設定上的疏失之外,這些PACS也含有數千種安全問題,包括老舊的伺服器版本,或是採用含有漏洞的資料庫實例等。外洩的病患個資可以被用來進行勒索、發動社交工程攻擊,且病患的資料在暗網的平均價碼高達250美元。


Advertisement

更多 iThome相關內容