Brasil expõe equipamentos de radiologia na web

Paulo Brito
25/09/2018
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest
ultrassom mindray
O Mindray DC-80

Tente ler com naturalidade o seguinte: tem 120 equipamentos de imagem expostos na Internet pelos hospitais brasileiros (e 1637 no mundo). Tem isso por enquanto, porque o número está subindo: na semana passada eram 106 conforme a checagem que eu fiz pelo Shodan. São principalmente aparelhos de ultra-som, raios-X, ressonância, tomógrafos. As portas desses equipamentos estão absolutamente abertas, como descobriu o pesquisador Victor Pasknel, da empresa de segurança Morphus, sediada em Fortaleza. 

Não dá para saber ainda se são hospitais ou clínicas, públicos ou particulares. Mas isso quer dizer que qualquer hacker pode ter acesso aos equipamentos para ler ou gravar arquivos de imagem (originais ou modificados propositalmente), ter acesso aos nomes dos pacientes, dos médicos e todos os outros detalhes do prontuário. Os equipamentos estão ligados à Internet possivelmente para oferecer acesso às imagens armazenadas (para médicos e pacientes) e talvez para atualização do software – que eu pessoalmente acho uma possibilidade remota.  A situação não é boa.

Pasknel decidiu pesquisar esse assunto depois de ter levado sua namorada a um hospital e ver vários equipamentos com porta de rede espalhados na sala de atendimento. Pegou uma das marcas e a pesquisa começou: Mindray, fabricante chinês de equipamentos médicos, sediado em Shenzen. Não foi difícil descobrir que esses equipamentos podem ser controlados por aplicativo em smartphone. Baixou e instalou o e então as descobertas começaram: porta 2345, MEDSIGHT como AE_TITLE (nome do app) mas não havia como testar porque Pasknel não tinha acesso a nenhum equipamento, mas com a ajuda de um amigo ele pôde ampliar a experiência e mesmo abrir o Wireshark para analisar a comunicação.

Pasknel fez uma apresentação sobre esse tema no Mind The Sec 2018, em São Paulo. Se você não foi, pode saber tudo o que ele falou na palestra lendo seus três blogs com todos os detalhes sobre o assunto, em https://morphuslabs.com.

 

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest