医疗互联网服务敏感数据泄露风险调查报告

随着互联网、大数据、云计算技术的快速发展，我国医疗机构的信息化程度越来越高，逐步向数字化医疗、智慧医疗发展。新型技术的使用必然会带来新的安全风险。此外，医疗数据的高价值特性，吸引大量攻击者尝试通过窃取、买卖医疗敏感数据牟取暴利。据悉，医疗敏感数据在暗网中的交易价格可达信用卡数据的10倍。

腾讯智慧安全以安全大数据及第三方授权或公开的信息和数据为基础，抽样分析了国内具有一定影响力的线上医疗服务平台的业务情况，并结合网络安全威胁情报、黑灰产业链等情报信息，对国内医疗数据泄露风险做了综合性的评估。

评估发现国内线上医疗服务平台存在的业务安全风险比较突出，可能会导致大量敏感的医疗数据泄露，主要问题如下：

1.线上医疗服务平台普遍存在多种逻辑漏洞，可能导致患者身份、就诊信息等敏感数据泄露。

2.医疗互联网资产敏感端口开放较多，核心业务资产直接对外暴露，存在被入侵、攻击的风险。

随着我国互联网+医疗的发展，国内越来越多的医院通过手机APP、网站、第三方医疗服务平台等形式提供了网上预约挂号、网上缴费、网上查询报告等多项线上医疗服务。

我们调查发现，近87%的医院提供了较成熟的线上医疗服务。其中超过 60% 的医院的线上医疗服务由第三方医疗平台提供。而第三方医疗服务平台会同时为多家医院提供线上挂号预约、体检预约以及医生咨询等服务。

提供线上医疗服务的医院分布情况

医疗业务系统存在的业务漏洞、敏感端口开放等安全问题，会给未授权访问和黑客入侵渗透带来极大的便利，从而增加医疗数据的安全风险。

从美国医疗数据泄露的来源可以看出，除了内部人员窃取/丢失数据等内因外，更多的是来自外部的黑客渗透入侵、未授权访问/接口暴露等网络攻击威胁。

近年来，由黑客渗透入侵导致的数据泄露事件增速越来越快，已经跃升为第一因素；

由于服务器配置不当、漏洞等因素造成的未授权访问问题也呈增速发展；

内部人员窃取或丢失数据造成的数据泄露问题，近几年来逐渐减少。

美国医疗数据泄露来源

第三方医疗服务等线上医疗服务平台在为患者看病就诊带来便利的同时，也给攻击者提供了新的攻击入口，带来了更多的安全风险。

第三方医疗服务平台往往会在同一个平台或者同一个代码框架下，汇集众多医疗机构的资源，以便于为多家医院提供线上挂号预约、体检预约以及医生咨询等服务，一旦有平台出现严重的信息泄露等漏洞就会影响平台上所有医院。

另外由于第三方医疗服务平台服务商对安全的重视程度及条件的限制，使得第三方医疗服务平台出现信息泄露等安全漏洞的几率增大。

腾讯智慧安全发现，国内多家三甲医院接入的第三方医疗服务平台存在严重逻辑漏洞，这些漏洞可导致平台就诊患者信息泄露，具体包括如下类型：

1.个人身份信息：姓名、手机号、身份证号、家庭住址、网络ID。

2.就诊信息和医疗诊断数据：挂号记录、检查检验报告、住院记录、体检报告、缴费记录等。

三甲医院线上服务信息泄露漏洞分布（国内抽样数据）

今年7月，腾讯安全团队在日常守护全网用户信息安全工作过程中，发现某健康医疗平台存在多个漏洞。包括登录绕过、未授权访问、平行越权等严重漏洞，攻击者仅通过手机号就可以获取到患者的姓名、身份证，就诊卡信息、挂号记录、化验检验报告单以及其他个人健康生理和医疗信息。