كشف تحقيق أمني أجراه فريق من CybelAngel Analyst Team عن تسريب أكثر من 45 مليون صورة طبية على الانترنت، تتضمن معلومات التعريف الشخصية للمرضى (PII) ومعلومات الرعاية الصحية الشخصية (PHI) المرتبطة بها. وذلك بسبب استخدام التكنولوجيا غير الآمنة لتخزين البيانات الطبية وإرسالها واستلامها.
تتضمن البيانات المسربة سجلات وصور طبية حساسة، بما في ذلك فحوصات الأشعة السينية وصور التصوير بالرنين المغناطيسي وغيره، والتي يمكن لأي شخص الوصول إليها عبر الإنترنت.
أي أنه نتيجة هذا التسريب، أصبحت بيانات المرضى الحساسة وغير المؤمنة متاحة لأطراف ثالثة، قادرة على للوصول إليها لأغراض الابتزاز أو الاحتيال أو لتنفيذ أي أغراض شائنة أخرى.
من جهته، قال David Sygula، كبير محللي الأمن السيبراني في CybelAngel: “اكتشف فريقنا أكثر من 45 مليون ملف تصوير فريد على أجهزة تخزين متصلة غير محمية، لها روابط بالمستشفيات والمراكز الطبية في جميع أنحاء العالم”، مضيفاً أنه تم العثور على التسريبات في 67 دولة.
قلق من تسريب الصور الطبية
النتائج مقلقة لعدد من الأسباب. فالجهات المسؤولة عن التهديد يمكن أن تنتهك خصوصية الأشخاص من خلال بيع البيانات على شبكة الإنترنت المظلمة، حيث تُعد سلعة ثمينة. كما يمكنهم أيضاً استخدام الصور والبيانات لابتزاز المرضى أو لخداع النظام الطبي عبر استخدام المعلومات المسروقة لإنشاء “عيادات أشباح” و “مرضى وهميين” بهدف ارتكاب الاحتيال.
علاوة على ذلك، تُعتبر مخاوف الخصوصية بشأن بيانات المرضى بالغة الأهمية بشكل خاص خلال جائحة فيروس كورونا المستجد. بحيث يمكن أن يكون لمعلومات التعريف الشخصية PII و PHI آثار كبيرة على حياة المرضى وحياة الأشخاص الذين كانوا على اتصال بهم. إذ لاحظ الباحثون أيضاً أنه يمكن للجهات الفاعلة في التهديد استخدام الوصول إلى البيانات لتعديل السجلات الطبية لشخص ما عن سوء نية.
تجدر الإشارة إلى أن أدوات CybelAngel قامت بمسح ما يقارب 4.3 مليار عنوان IP لاكتشاف الصور، والتي تُركت مكشوفة على أكثر من 2140 خادماً غير محمي عبر 67 دولة، بما في ذلك الولايات المتحدة والمملكة المتحدة وفرنسا وألمانيا.
تضمنت الصور في الاجمال ما يصل إلى 200 سطر من البيانات الوصفية لكل سجل والتي تذكر اسم المريض وتاريخ ميلاده وعنوانه، بالإضافة إلى طوله ووزنه وتشخيصه وغير ذلك من المعلومات الصحية المحمية. وأخطر ما في الأمر أنه يمكن لأي شخص الوصول إلى الصور والبيانات من دون الحاجة إلى اسم مستخدم أو كلمة مرور في كثير من الأحيان.
وحقيقة أن الفريق الأمني لم يستخدم أي أدوات قرصنة لإجراء البحث، يسلط الضوء على السهولة التي يمكن فيها اكتشاف هذه الملفات والوصول إليها. مما يشير إلى ضرورة اتباع خطة عمل أكثر صرامة تجاه كيفية مشاركة البيانات الطبية الحساسة وتخزينها من قبل المتخصصين في الرعاية الصحية، مرفقة بتثبيت برامج أمنية قادرة على حماية بيانات المرضى من السرقة.