研究人员发现加州医院的未加密系统导致COVID-19患者个人资料遭泄露
据外媒CNET报道,当新冠大流行席卷美国时,加州是最早采取行动的州之一,该州在3月发布了一项覆盖约4千万居民的居家令。当时,关于COVID-19对医院的影响有多严重,并没有多少公开信息。 但人们很快就了解到医务人员是如何在缺乏防护设备、生死攸关的呼吸机短缺和大量新冠患者涌入的情况下挣扎的。从圣迭戈到洛杉矶的医院工作人员在传呼机网络上内部讨论了这些问题。
但安全研究员Troy Brown在Defcon的物联网村的演讲中表示,这些消息并没有保持私密性。Brown能够看到这一切,包括病人的个人细节,如病人姓名和他们的COVID-19状态,以及死亡率等。
Brown说,这些敏感细节是在没有加密的情况下通过医院传呼机发送的,使他能够窃听3月至8月的私人谈话。“那些未加密的传呼机信息包括很多COVID信息,”Brown说。“知道这些是一种令人震惊的事情,因为知道那是以明文形式进行真正长距离的广播。”
Brown指出,医院应该更好地保护无线通信的安全。医院拥有不安全的信息传输协议并不是什么新鲜事。研究人员几十年来一直在警告这个问题。例如,2019年10月的一则新闻报道关注了伦敦的一位研究人员,他发现该国国家卫生服务机构使用的传呼机一直在泄露紧急呼叫的医疗数据。
Brown说,传呼机可以加密,但大约80%的医院仍在使用不安全的设备。他能够使用一个20美元的软件定义设备来监听他家附近的一个无线电塔,它可以从70英里以外的地方广播信息。一旦他开始窃听,Brown就发现了来自医院的大量关于COVID-19的信息,包括病人提出的请求类型。这些细节提供了人们如何看待新冠爆发的一瞥,以及随着病情的恶化,人们的看法是如何改变的。
“很多人被检测出阳性且无症状,并询问医生何时可以回去工作,”Brown说。他看到了敏感的信息,包括患者的姓名、性别、年龄、诊断、covid-19状态、他们正在接受什么治疗,以及医院的个人防护用品供应状况和床位和呼吸机的库存。
Brown还能够看到人们何时死于这种传染病。“医院里有一个特定的楼层,他们把COVID病人安置在那里,”这位无线工程师说。“很多停尸房的转送确实来自那里。”一开始,信息中包含了关于发烧或呼吸急促,或其他与疾病有关的症状的说明。到了4月,每条信息都默认添加了关于COVID-19的问题,即使患者的健康问题与疾病无关。
这位安全研究人员还表示,他的意图并不是要指明一家特定的医院。相反,他想强调医院使用未加密系统和无意中侵犯病人隐私的问题。在大流行期间,医疗服务中的隐私至关重要,因为患者需要相信,当他们去做检查或提供数据进行联系追踪时,医院会保证他们的信息安全。正是出于这个原因,立法者呼吁对冠状病毒治疗进行隐私保护,Brown的研究表明,医院仍在以一种非常简单的方式泄露信息。
“任何人都可以调到这些塔,看到所有这些信息,”Brown说。“需要在全国范围内进行对话。”