Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Data miljoenen patiënten op onbeveiligde servers aangetroffen

dinsdag 17 september 2019, 15:01 door Redactie, 7 reacties

Onderzoekers hebben op honderden onbeveiligde servers die voor iedereen op eenvoudige wijze toegankelijk zijn medische data van miljoenen patiënten aangetroffen, zoals röntgenscans, MRI-scans, namen, geboortedata, behandeldata en in sommige gevallen social security nummers.

De gegevens zijn van patiënten wereldwijd, zo blijkt uit onderzoek van ProPublica en de Duitse omroep Bayerischer Rundfunk. De onderzoekers vonden honderden servers die eenvoudig toegankelijk waren. Het ging onder andere om 187 servers en webservers in de Verenigde Staten met de medische data van meer dan 5 miljoen mensen. Wereldwijd gaat het om miljoenen mensen.

De servers worden door ziekenhuizen en specialisten gebruikt voor de opslag van röntgenfoto's, MRI-scans, mammogrammen en andere afbeeldingen. In veel gevallen zijn ze zonder wachtwoord toegankelijk. Verschillende servers draaiden daarnaast op verouderde besturingssystemen met bekende kwetsbaarheden. "De patiëntgegevens zijn toegankelijk omdat de eenvoudigste it-beveiligingsmaatregelen zoals gebruikersnaam en wachtwoord om toegang te krijgen en encryptie niet zijn genomen", zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

Het gaat onder andere om picture archiving and communication systems (PACS) servers die de DICOM-standaard gebruiken. Deze standaard uit 1985 beschrijft hoe apparaten die medische afbeeldingen maken met elkaar communiceren en data delen. Wanneer de servers direct toegankelijk vanaf het internet zijn zonder vpn of firewall, of wanneer er geen veilig wachtwoord wordt vereist, kunnen de opgeslagen gegevens worden benaderd.

"Als een samenleving moeten we begrijpen dat de grote digitaliseringsprojecten die ons zoveel voordelen kunnen brengen alleen slagen als ze vanaf het begin veilig worden ontworpen. Alleen als burgers de security van hun data vertrouwen zal digitalisering slagen", zegt Arne Schönbohm, directeur van het BSI. Verschillende van de ziekenhuizen en medische instellingen waar de onbeveiligde servers werden aangetroffen hebben die beveiligd nadat ze door de onderzoekers waren gewaarschuwd.

Bankmalware lekt 2 miljoen wachtwoorden via open database
"Translink kan gegevens reizigers met anonieme OV-chipkaart niet achterhalen"
Reacties (7)
17-09-2019, 15:23 door botbot - Bijgewerkt: 17-09-2019, 15:30
-snip dubbelpost-
17-09-2019, 15:24 door botbot - Bijgewerkt: 17-09-2019, 15:24
Ik snap dat een titel zo veel mogelijk hits moet genereren, maar om er pas in de derde alinea over te lezen dat het over een wereldwijd onderzoek gaat en pas aan het eind van het artikel te kunnen concluderen dan Nederland uberhaupt niet genoemd wordt in het artikel, vind ik wat ver gaan.

Verder zijn de aantallen nogal vreemd weergegeven: "Het ging onder andere om 187 servers en webservers in de Verenigde Staten met de medische data van meer dan 5 miljoen mensen. Wereldwijd gaat het om miljoenen mensen." Je bedoelt 5 miljoen in de VS, 2 in de rest van de wereld en wereldwijd dus nog steeds miljoenen? Of 5 miljoen in de VS en 378 miljoen in de rest van de wereld? En ook nog steeds miljoenen...

Hebben we het dan over landen als Etheopie en Thailand? Of als Zweden, Denemarken en Nederland binnen onze EU wetgeving?

Verder wordt er vrij weinig specifiek gemeld: De MRI scan's zijn zonder wachtwoord toegankelijk? Direct vanaf het internet? Of nadat men in het systeem heeft ingebroken?

Dit artikel had qua inhoud kunnen volstaan met 1 zin: "Er gaat wereldwijd nog steeds veel fout op het gebied van beveiliging".
17-09-2019, 15:54 door Anoniem
Burgers dwingen om verder hun data te digitaliseren en te uploaden,en gebruik te moeten
maken van slimme devices en algoritmes.

Wereldwijd is het nog steeds een puinhoop,
mag ik mijn eigen data beweren,Nee dat mag uw NIET.

Wij beheren dat voor jou,uw mag wel het EPD gebruiken
en alle digitale services van ziekenhuizen,artsen,specialisten en bedrijven,uwv,uitzendbureaus
en gemeentes en overheden.

The Matrix
17-09-2019, 17:36 door Bitwiper
Door botbot: Hebben we het dan over landen als Etheopie en Thailand? Of als Zweden, Denemarken en Nederland binnen onze EU wetgeving?
Als licht-oranje in het kaartje in https://www.tagesschau.de/investigativ/br-recherche/patientendaten-101.html betekent dat patiënten in die landen tot de slachtoffers behoren, dan valt Nederland (net als Duitsland) daar ook onder, terwijl donker-oranje lijkt te duiden op de zwaarst getroffen landen.
18-09-2019, 08:40 door botbot - Bijgewerkt: 18-09-2019, 08:40
Door Bitwiper:
Door botbot: Hebben we het dan over landen als Etheopie en Thailand? Of als Zweden, Denemarken en Nederland binnen onze EU wetgeving?
Als licht-oranje in het kaartje in https://www.tagesschau.de/investigativ/br-recherche/patientendaten-101.html betekent dat patiënten in die landen tot de slachtoffers behoren, dan valt Nederland (net als Duitsland) daar ook onder, terwijl donker-oranje lijkt te duiden op de zwaarst getroffen landen.

Ok da's al iets meerzeggend inderdaad. En van wat ik van het artikel begrijp is er dus in 2016 ook al onderzocht en melding gemaakt van 2700 systemen die onbeveiligd waren. Alleen zag de branch niet echt reden om te beveiligingen, want de onderzoekers hadden niet gekeken of er ook daadwerkelijk prive data op de de onbeveilige servers stond.

Die "branche" (ik weet niet zo goed of ze leveranciers of de instellingen zelf bedoelen) zouden ze wat mij betreft strafrechtelijk mogen vervolgen. Als je sensitieve informatie beheert, en iemand meld dat je er onveilig mee om gaat en weigert actie te ondernemen, dan is er m.i. sprake van grove nalatigheid.

Op het kaartje lijkt het mij trouwens meer dat de landen in het grijs niet onderzocht zijn, en dat elk land dat PACS apparatuur gebruikt er last van heeft. Klinkt mij in de oren als een nalatige leverancier die wereldwijd zijn spullen onbeveiligd verkoopt. Maar dat is gissen.
18-09-2019, 08:54 door Bitwiper
De feitelijke onderzoeker is het Duitse bedrijf Greenbone Networks, las ik in https://www.bleepingcomputer.com/news/security/400-million-medical-radiological-images-exposed-on-the-internet/. In dat artikel zijn een aantal gedetailleerde plaatjes en tabellen uit het rapport van Greenbone Networks overgenomen.

Het volledige rapport (met o.a. getallen over Nederland en de Nederlandse Antillen) van de onderzoekers vind je in https://www.greenbone.net/wp-content/uploads/CyberResilienceReport_EN.pdf.
18-09-2019, 15:22 door Hyper
Is er ergens te controleren of je slachtoffer bent van deze lek?
Dan kan ik, indien nodig, nieuwe persoonsgegevens aanvragen. *rolleyes*
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

11 reacties
Aantal stemmen: 764
Image
BYOD
07:55 door Anoniem

Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen? (Ben zelf tegen het gebruik van ...

8 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Prive bestanden van OneDrive worden openbaar bij gebruik van Versiegeschiedenis
02-03-2021 door hny3425

Als je voor OneDrive betaalt, kun je de functie Versiegeschiedenis gebruiken. Erg handig als je een vorige versie van een ...

23 reacties
Lees meer
Certified Secure LIVE Online training
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter