Mais de 45 milhões de arquivos de exames médicos, incluindo radiografias e tomografias computadorizadas, foram encontrados em servidores desprotegidos e acessíveis a qualquer pessoa. Com base nisso, a ESET, empresa líder em detecção proativa de ameaças, explica o caso e mostra o que os criminosos podem fazer com as informações obtidas.
A descoberta dos dados vazados de hospitais e centros médicos de todo o mundo foi o resultado de uma investigação de seis meses, realizada pela equipe de pesquisa da CybelAngel, em sistemas NAS (Network-Attached Storage) e no protocolo DICOM (Digital Imaging and Communications in Medicine). A investigação revelou milhões de imagens exclusivas armazenadas em mais de 2.140 servidores desprotegidos e localizados em 67 países.
Algumas imagens incluíam dezenas de linhas de metadados por registro com informações de identificação pessoal (PII), como nomes, datas de nascimento, endereços e informações pessoais de saúde, indicando a altura, o peso e até o diagnóstico do paciente.
A existência de bancos de dados mal configurados e expostos à Internet beneficia os criminosos que, com o conjunto de todos os dados, podem criar um retrato abrangente de seus alvos. Isso pode fazer com que os pacientes afetados se tornem vítimas de roubo de identidade, phishing, sextorsão, fraude financeira e outros tipos de golpes que normalmente utilizam engenharia social. Além disso, os agentes maliciosos também podem vender os dados na dark web.
“Esta é uma descoberta preocupante e demonstra a importância de processos de segurança mais rígidos para proteger a forma como profissionais de saúde compartilham e armazenam dados médicos confidenciais. Um equilíbrio entre segurança e acessibilidade é fundamental para evitar que vazamentos se tornem uma grande brecha de dados”, disse David Sygula, analista sênior de cibersegurança da CybelAngel.
Como algumas das instituições médicas estão localizadas na União Europeia (UE), elas estão sujeitas ao Regulamento Geral de Proteção de Dados (GDPR), o que significa que a falha de segurança em proteger os dados confidenciais dos pacientes pode levar a penalidades e ações judiciais.