Données de santé exposées...
Un lanceur d’alerte vous informe qu’il est facilement possible d’accéder aux données de santé d’un patient à partir d’un serveur de votre infrastructure, exposé sur Internet.
Pour valider ce challenge, à partir de la capture d’écran qu’il vous a fournie, retrouvez le nom et le prénom du patient concerné.
challengelanceur_d_alerte.jpg
Cet image représente une capture de trames entre un client et un serveur PACS (imagerie médicale).
Le serveur est accessible sur l'IP 51.83.97.109 via le port 1984
Les deux machines discutent en DICOM.
Le client utilise l'AE (Application Entity Title) : AET
Signification | Représentation | Valeur |
|---|---|---|
Specific Character Set | CS | ISO_IR_100 |
Study Date | DA | 20211207 |
Study Time | TM | 102726.000 |
Accession Number | SH | A10072678912 |
Query/Retrieve Level | CS | STUDY |
Modalities in Study | CS | CR |
SOP Classes in Study | UI | 1.2.840.10008.5.1.4.1.1.1 |
Study Description | LO | POUMONS |
Patient's Name | PN | ? |
Patient ID | LO | 19841987 |
Le serveur PACS fonctionne bien après une tentative de communication :
nc 51.83.97.109 1984 -v
Connection to 51.83.97.109 1984 port [tcp/*] succeeded!
Pour pouvoir interroger le serveur, je décide de chercher un client DICOM ou un client PACS.
Dans MicroDicom, je configure mon serveur PACS :
Puis, je cherche le "Accession Number" du patient :
On récupère alors les données de la patiente :
Qui ? JANINE MELNITZ
Date de naissance ? 9-July-1960
Radio de ? POUMONS
Quand précisément ? 7-December-2021 10:27:26
Où ? APSSIS
Janine Melnitez - Ghostbusters
Le France est dans le top 10 des pays, qui exposent des serveurs d'imagerie médicale (d'après Shodan) sur internet !
😄
Mais les champions restent les US... exemples de données accessibles 24h/24H :
Dernière mise à jour 11mo ago