Vazamentos de dados, por natureza, já são incidentes preocupantes. Quando falamos especificamente de dados médicos, entramos em um ramo ainda mais sensível. Por isso, é chocante saber que, segundo pesquisadores da CyberAngel, cerca de 45 milhões de exames de imagem — incluindo diagnósticos por radiografia e tomografia — estavam desprotegidos na web, armazenados em dois mil servidores diferentes.
- Vazamento de senhas do Ministério da Saúde não foi causado por ataque cibercriminoso
- Vazamento da Intel: empresa usava “intel123” como senha para proteger arquivos
- Exclusivo: clínica médica deixa vazar mais de 2,3 mil laudos de pacientes
Os arquivos não pertenciam a um único hospital: eles eram oriundos dos mais diversos laboratórios e centros médicos ao redor do globo, o que significa que as vítimas também são de diferentes nacionalidades. Só do Reino Unido, por exemplo, eram 23 mil documentos. Além dos resultados dos diagnósticos em si, as imagens continham informações como nome, idade, endereço, altura, peso e assim por diante.
“O fato de não termos usado nenhuma ferramenta de hacking em nossa pesquisa destaca a facilidade com que fomos capazes de descobrir e acessar esses arquivos”, comenta David Sygula, analista sênior de cibersegurança da CyberAngel. Segundo o especialista, os servidores estavam expostos há pelo menos doze meses e há indícios de que agentes maliciosos tenham acessado os documentos, além de implantar malwares em certos casos.
Diferente do que você pode imaginar, o problema, desta vez, não era uma má-configuração em infraestruturas na nuvem, mas sim uma combinação de um sistema de armazenamento NAS inseguro e uso do retrógrado protocolo DICOM (Digital Imaging and Communications in Medicine ou Comunicação de Imagens Digitais em Medicina), um conjunto de normas e padrões para transmissão de informações médicas criado nos anos 90.
O mais engraçado é que o próprio protocolo em si alerta que ele, por si só, não é seguro, afirmando que seu uso assume que seus usuários estejam “implementando políticas de segurança apropriadas, incluindo, mas não se limitando a, controle de acesso, trilhas de auditoria, proteção física, manutenção da confidencialidade e integridade de dados e mecanismos para identificar usuários e seus direitos para dados de acesso.”
A CyberAngel não citou nomes ou identificou o responsável por tal exposição histórica.
Fonte: The Register