Plus de 45 millions de fichiers d'imagerie médicale, y compris des radiographies et des scanners, ont été trouvés sur des serveurs non protégés connectés à Internet et accessibles à tous.
La découverte des fuites de données provenant d'hôpitaux et de centres médicaux du monde entier est le résultat d'une enquête de six mois menée par l'équipe de recherche de CybelAngel sur le stockage en réseau (NAS) et l'imagerie et les communications numériques en médecine (DICOM). L'enquête a permis de découvrir des millions d'images uniques stockées sur plus de 2 140 serveurs non protégés situés dans 67 pays, dont les États-Unis, le Royaume-Uni et l'Allemagne, entre autres.
Cependant, pour aggraver les choses, certaines images comprenaient des dizaines de lignes de métadonnées par enregistrement, révélant des informations personnellement identifiables (IIP) telles que les noms, les dates de naissance, les adresses et les informations de santé personnelles indiquant la taille, le poids et même le diagnostic du patient.
La somme de toutes ces données pourrait permettre aux acteurs de la menace ayant une intention malveillante de créer un portrait complet de leurs cibles potentielles. Les patients concernés pourraient ainsi être victimes de vol d'identité, d'hameçonnage, d'extorsion, de fraude financière et d'autres types de fraude. Les cybercriminels pourraient également vendre ces données sur le dark web.
« Cette découverte est préoccupante et prouve que des processus de sécurité plus stricts doivent être mis en place pour protéger la manière dont les données médicales sensibles sont partagées et stockées par les professionnels de la santé. Il est impératif de trouver un équilibre entre sécurité et accessibilité pour éviter que les fuites ne deviennent une violation majeure des données », souligne David Sygula, analyste principal de la cybersécurité de Cybel Angel.
Puisque certains établissements médicaux touchés sont situés dans l'Union européenne (UE), ils sont soumis au Règlement général de l'UE sur la protection des données, ce qui signifie que le fait de ne pas sécuriser les données sensibles des patients pourrait entraîner des sanctions et des actions en justice.
Les bases de données sur Internet mal configurées et non sécurisées peuvent difficilement être considérées comme un cas rare. L'enquête pourrait faire écho à un incident similaire dont nous avons fait état plus tôt cette année et qui impliquait la diffusion en ligne de photos sensibles de chirurgie plastique.