Les chercheurs affirment avoir trouvé des images de patients exposés, ainsi que des noms, adresses et numéros de téléphone.
Des milliers de personnes exposées Les serveurs divulguent les dossiers médicaux et les informations personnelles sur la santé de millions de patients en raison des failles de sécurité d’une norme industrielle vieille de plusieurs décennies conçue pour le stockage et le partage d’images médicales, ont prévenu les chercheurs.
Cette norme, connue sous le nom d’imagerie numérique et de communications en médecine, ou DICOM en abrégé, est le format internationalement reconnu pour l’imagerie médicale. DICOM est utilisé comme format de fichier pour les tomodensitogrammes et les images radiographiques afin de garantir l’interopérabilité entre les différents systèmes et logiciels d’imagerie. Les images DICOM sont généralement stockées dans un système de stockage et de partage d’images, ou serveur PACS, permettant aux médecins de stocker les images des patients dans un seul fichier et de partager des enregistrements avec d’autres cabinets médicaux.
Mais comme l’a découvert Aplite, un cabinet de conseil en cybersécurité basé en Allemagne et spécialisé dans les soins de santé numériques, les failles de sécurité de DICOM signifient que de nombreux établissements médicaux ont involontairement rendu les données privées et les antécédents médicaux de millions de patients accessibles sur Internet ouvert.
Les recherches d’Aplite sur les systèmes DICOM, partagées avec TechCrunch avant sa présentation au Black Hat Europe cette semaine, ont permis de découvrir plus de 3 800 serveurs répartis dans plus de 110 pays exposant les informations personnelles de quelque 16 millions de patients. Aplite a déclaré avoir trouvé les noms, sexes, adresses et numéros de téléphone des patients, et dans certains cas, leurs numéros de sécurité sociale.
L’étude, qui a analysé Internet à la recherche de serveurs DICOM pendant plus de six mois, a révélé que ces serveurs exposent également plus de 43 millions de dossiers de santé, qui peuvent inclure les résultats d’un examen, la date à laquelle l’examen a eu lieu et les médecins référents. détails.
La plupart des serveurs exposés (plus de 8 millions d’enregistrements) sont basés aux États-Unis, suivis par 9,6 millions d’enregistrements en Inde et 7,3 millions en Afrique du Sud. Aplite a déclaré que de nombreux serveurs basés aux États-Unis hébergent des données provenant de cabinets médicaux situés en dehors des États-Unis.
Sina Yazdanmehr, consultante senior en sécurité informatique chez Aplite, a déclaré à TechCrunch que plus de 70 % de ces serveurs DICOM exposés sont hébergés par des géants du cloud comme Amazon AWS et Microsoft Azure. Le reste sont des serveurs DICOM dans des cabinets médicaux connectés à Internet.
Yazdanmehr a déclaré que moins de 1 % des serveurs DICOM sur Internet utilisent des mesures de sécurité efficaces.
« Lorsque nous avons effectué cette recherche, nous avons réalisé que les organisations médicales avaient amorcé la transition vers le cloud et la modernisation ; les grands acteurs se sont tournés vers le cloud parce qu’ils pouvaient se le permettre et disposer de l’infrastructure », a déclaré Yazdanmehr à TechCrunch. « Mais cette numérisation oblige les petites entreprises qui n’ont ni les ressources ni le budget (une seule ligne DSL) à rattraper leur retard. »
Un problème hérité
Les failles de sécurité associées à DICOM ne sont pas nouvelles. En 2020, TechCrunch a signalé que la mise en œuvre de ce protocole vieux de plusieurs décennies dans les hôpitaux, les cabinets de médecins et les centres de radiologie avait conduit à l’exposition de millions d’images médicales contenant les informations personnelles sur la santé des patients.
Aujourd’hui, près de quatre ans plus tard, le problème ne montre aucun signe de ralentissement. Pire encore, Aplite a déclaré avoir découvert un nouveau vecteur d’attaque qui pourrait permettre aux pirates informatiques de falsifier les données contenues dans des images médicales existantes, ce dont la société fera la démonstration au Black Hat mercredi.
« Lorsque nous avons analysé les serveurs, nous avons constaté que 39 millions de dossiers de santé risquent d’être falsifiés », a déclaré Yazdanmehr. « En raison de la nature des dossiers médicaux, vous ne pouvez pas les modifier à moins qu’ils ne passent par tout un processus de vérification manuelle. »
« Si un attaquant falsifie ces données, ces enregistrements seront probablement inutiles », a déclaré Yazdanmehr. « Ils peuvent même injecter de faux signes de maladie. »
Le nombre de dossiers divulgués augmente chaque jour, a déclaré Yazdanmehr à TechCrunch, à mesure que de plus en plus d’hôpitaux migrent vers le cloud et que davantage de dossiers sont générés, mais que le problème plus large n’est pas facile à résoudre. Yazdanmehr a déclaré que même si DICOM dispose de mesures de sécurité, exiger leur utilisation pourrait briser de nombreux produits et systèmes existants.
La Medical Imaging & Technology Alliance, qui supervise la norme DICOM, n’a pas répondu aux questions de TechCrunch.