Взлом инфузоматов и «умных» ручек может привести к утечкам данных

Взлом инфузоматов и «умных» ручек может привести к утечкам данных

Злоумышленники могут использовать похищенную информацию для требования ложных страховых выплат, покупки медицинского оборудования и лекарств.

Кибератака на один инфузионный насос или «умную» ручку может повлечь за собой крупномасштабную утечку данных пациентов в медучреждениях, выяснил исследователь безопасности из компании Spirent SecurityLabs Саураб Харит (Saurabh Harit).

По словам исследователя, злоумышленники могут использовать похищенную информацию для требования ложных страховых выплат, покупки медицинского оборудования и лекарств с помощью поддельного удостоверения личности. Медицинские данные могут быть более прибыльными, чем финансовые, в силу низкой вероятности обнаружения утечки. Мошенничество с кредитными картами может быть обнаружено и заблокировано в течение нескольких минут, тогда как незаконные операции с медицинскими данными могут оставаться незамеченными в течение нескольких месяцев, или даже лет, пояснил Харит.

В ходе исследования эксперт был поражен количеством информации о пациентах, доступной через цифровую «умную» ручку. Врачи используют цифровые ручки для выписки рецептов на лекарства. С помощью таких ручек в аптеки передается информация об имени пациента, его адресе, номере телефона и другие медицинские данные.

По словам представителей медучреждений, ручки не хранят никакой информации, однако в ходе реверс-инжиниринга одного из таких устройств Хариту удалось обнаружить кеш данных. Используя специальное программное обеспечение для обхода проверки безопасности устройства, он смог получить права администратора. Хариту удалось получить доступ к конфигурациям серверов медучреждений, содержавших большой объем медицинских записей и других конфиденциальных данных. В то же время исправление уязвимостей в цифровых ручках является сравнительно несложным, так как устройства разрабатываются с учетом безопасности. По словам Харита, ручки можно обновлять удаленно.

Исследователь также изучил безопасность инфузионных насосов, использующихся для внутривенной подачи жидкостей, лекарств и питательных веществ пациентам.

Как обнаружил Харит, с помощью простого аппаратного устройства за $7 можно взаимодействовать с инфузионным насосом, читать его файлы конфигурации и выявить точку доступа, к которой насос пытается подключиться. В результате он создал поддельную точку доступа, подключенную к насосу, после чего собрал конфиденциальные медицинские данные пациентов, включающие список лекарств и их дозировку.

«Допустим, у больницы есть 200 таких насосов. Тогда злоумышленник может написать вредоносный скрипт и запустить его в сеть больницы, атаковав все устройства сразу», - отметил специалист, однако для взлома злоумышленник должен иметь физический доступ к насосу или «умной» ручке.

Исследователь уведомил производителей уязвимых инфузионных насосов и цифровых ручек, однако отказался раскрывать названия компаний или модели устройств.

Результаты исследования будут представлены на конференции Black Hat Europe 6 декабря 2017 года.

Ранее SecurityLab сообщал о ряде опасных уязвимостей в беспроводных инфузионных насосах Smiths Medical Medfusion 4000, позволяющих хакерам получить удаленный доступ к устройству и управлять его работой.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться