Свыше 45 миллионов медицинских сканов оказались в открытом доступе

Свыше 45 миллионов медицинских сканов оказались в открытом доступе

Свыше 45 миллионов медицинских сканов оказались в открытом доступе

Две тысячи серверов, совокупно хранящих 45 млн рентгеновских снимков и других результатов медицинских обследований, в течение года находились в публичном доступе без каких-либо средств защиты. На некоторых из этих ресурсов были обнаружены откровенно вредоносные скрипты.

Выявить масштабный слив конфиденциальной информации помогло исследование, проведенное в CybelAngel — компании, специализирующейся на предоставлении услуг по управлению рисками. Целью исследования являлось определение уровня защищенности сетевых хранилищ (NAS) и связи по протоколу DICOM (Digital Imaging and COmmunications in Medicine) — стандарту де факто, который медики используют для передачи и обработки данных.

За полгода аналитики просканировали около 4,3 млрд IP-адресов и выявили более 2140 общедоступных серверов, на которых суммарно хранилось свыше 45 млн уникальных DICOM-изображений. Эти серверы были размещены в 67 странах, в том числе в США, Великобритании, Франции и Германии.

Каждый медицинский скан сопровождался записью, содержащей персональные данные пациентов, а также сведения о состоянии здоровья, полученной медицинской помощи и оплате таких услуг. В большинстве случаев доступ к этой информации не требовал пароля, а на порталах, предусматривающих регистрацию, войти можно было, не заполняя поля логина и пароля.

Как оказалось, специализированные сервисы тоже не застрахованы от ошибок, грозящих утечками. Один из поставщиков платных услуг по безопасному хостингу DICOM-изображений забыл защитить службу NFS (Network File System, сетевая файловая система) на порту 2049 и в итоге слил в интернет порядка 500 тыс. файлов.

Исследователи предупреждают, что публичный доступ к конфиденциальным данным провоцирует мошенничество, вымогательство и шантаж. Халатное отношение к защите такой информации также может грозить провайдеру санкциями — за нарушение GDPR (General Data Protection Regulation, регламент ЕС о защите данных) или HIPAA (Health Insurance Portability and Accountability Act, американский Закон о сохранении медицинского страхования и персонифицированном учёте в здравоохранении).

Обеспечить безопасность хранения и передачи данных, по мнению экспертов, помогут следующие меры:

  • введение и контроль соблюдения строгих политик доступа к NAS-устройствам и приложениям для обмена файлами;
  • сегментация сетей с подключенным к интернету медицинским оборудованием, предельное ограничение доступа к критически важным средствам диагностики;
  • проведение аудита у подрядчиков для выявления случаев нарушения отраслевых стандартов и нормативов;
  • проведение работ по оценке защищенности данных, определению рисков и приоритетных проблем с привлечением сторонних экспертов.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Рекордную DDoS-атаку в 11,5 Тбит/с провели с ботнета из 300 тыс. роутеров

Специалисты QiAnXin XLab уже год отслеживают DDoS-атаки с участием AISURU и уверены, что рекордный по мощности флуд, зафиксированный в прошлом месяце Cloudflare, был сгенерирован именно этим ботнетом.

Китайским экспертам удалось выявить трех операторов вредоносной сети. Один из них, с ником Snow, отвечает за разработку DDoS-бота, некто Tom — за поиск уязвимостей для распространения инфекции, Forky — за сдачу ботнета в аренду.

В апреле этого года Tom взломал сервер, с которого Totolink раздает обновления прошивки для своих роутеров, и внедрил вредоносный скрипт (t.sh), выполняющий перенаправление на загрузку AISURU.

В результате численность ботнета за короткий срок перевалила за 100 тысяч. В настоящее время, по оценке исследователей, в его состав входят около 300 тыс. зараженных устройств, способных дружными усилиями создать DDoS-флуд мощностью до 11,5 Тбит/с.

Для распространения AISURU в основном используются уязвимости N-day в роутерах D-Link, Linksys, Zyxel, SDK Realtek, а также в IP-камерах. Конкуренции зловред не терпит: так, он в какой-то момент угнал все видеорегистраторы nvms9000 у RapperBot.

Особой избирательности в выборе целей для DDoS-атак не замечено. Их число может доходить до нескольких сотен в сутки.

 

География мишеней — в основном Китай, США, Германия, Великобритания и Гонконг.

 

В новейших образцах AISURU реализована также прокси-функциональность. С этой целью им придан опциональный модуль для проверки скорости интернета по Speedtest.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru