Mais de 45 milhões de arquivos de exames médicos, incluindo radiografias e tomografias computadorizadas, foram encontrados em servidores desprotegidos e acessíveis a qualquer pessoa.
A descoberta dos dados vazados de hospitais e centros médicos de todo o mundo foi o resultado de uma investigação de seis meses, realizada pela equipe de pesquisa da CybelAngel, em sistemas NAS (Network-Attached Storage) e no protocolo DICOM (Digital Imaging and Communications in Medicine). A investigação revelou milhões de imagens exclusivas armazenadas em mais de 2.140 servidores desprotegidos e localizados em 67 países.
No entanto, para piorar a situação, algumas imagens incluíam dezenas de linhas de metadados por registro com informações de identificação pessoal (PII), como nomes, datas de nascimento, endereços e informações pessoais de saúde, indicando a altura, o peso e até o diagnóstico do paciente.
Veja mais: Por que os hospitais são um alvo tão atrativo para os cibercriminosos?
O conjunto de todos os dados pode permitir que cibercriminosos criem um retrato abrangente de seus alvos. Isso pode fazer com que os pacientes afetados se tornem vítimas de roubo de identidade, phishing, extorsão, fraude financeira e outros tipos de fraudes que normalmente utilizam engenharia social. Além disso, os cibercriminosos também podem vender os dados na dark web.
“Esta é uma descoberta preocupante e demonstra a importância de processos de segurança mais rígidos para proteger como os profissionais de saúde compartilham e armazenam dados médicos confidenciais. Um equilíbrio entre segurança e acessibilidade é fundamental para evitar que vazamentos se tornem uma grande brecha de dados”, disse David Sygula, analista sênior de cibersegurança da CybelAngel.
Como algumas das instituições médicas estão localizadas na União Europeia (UE), elas estão sujeitas ao Regulamento Geral de Proteção de Dados (GDPR), o que significa que a falha de segurança em proteger os dados confidenciais dos pacientes pode levar a penalidades e ações judiciais.
Infelizmente, a existência de bancos de dados mal configurados e expostos à Internet se tornou algo bastante comum.
Veja mais: Problemas gerados pela má gestão de dados nas empresas e organizações