Сотрудники MedSec, обнаружили уязвимости в кардиостимуляторах и дефибрилляторах производителя St. Jude Medical. Однако вместо того чтобы обратиться в саму компанию, они предложили главе крупной инвестиционной фирмы Карсону Блоку разыграть эту информацию на бирже. Инцидент вызвал дискуссию об этичности подобного исследования безопасности.
Взломщики решили обнародовать подтвержденную информацию о том, что аппараты St. Jude Medical опасны для жизни пациентов. По плану хакеров, одновременно с этим Блок должен занять на бирже по отношению к компании «короткую позицию», то есть взять на себя обязательства по срочным сделкам при игре на понижение. Когда распространение компрометирующей информации ударит по репутации St. Jude Medical, и ее акции обвалятся, Блок сможет на этом заработать. Гонорар хакеров будет тем больше, чем сильнее упадут в цене акции.
По словам хакеров, уязвимость продуктов St. Jude Medical заключается в отсутствии шифрования и возможности подключаться к кардиостимуляторам и дефибрилляторам с неавторизованных устройств. MedSec утверждает, что кто угодно может подключиться к имплантам, вживленным в тела пациентов, и вызвать их фатальный сбой. О подобных угрозах говорят уже десять лет, но до сих пор риск, которому подвергаются сотни тысяч людей с имплантами St. Jude Medical, считался скорее теоретическим. Однако хакеры также скомпрометировали рентген-оборудование, анализаторы газов крови и другую технику в больницах и домах инвалидов, чтобы получить персональные данные пациентов. Ни MedSec, ни Muddy Waters пока не предают огласке ключевые технические подробности взлома.
Инцидент прокомментировала Кэндес Стил Флиппин(Candace Steele Flippin), вице-президент St. Jude Medical по внешним коммуникациям. Она заявила, что защита персональных данных является важнейшим приоритетом компании, и что St. Jude Medical осуществляет программу по тестированию информационной безопасности своего оборудования. В чем заключается программа, и какие изменения будут внесены в нее после происшествия, Флиппин не уточнила.
Обязательное условие этичного исследования безопасности – дать компании-производителю возможность ликвидировать уязвимости, прежде чем они станут широко известны массам потенциальных преступников. Но генеральный директор MedSecДжастин Боун заявил, что не может пойти этим путем, поскольку St. Jude Medical в прошлом игнорировала подобные предупреждения. Кроме того, существует вероятность, что компания будет преследовать хакеров в судебном порядке, чтобы заставить их молчать. MedSec и Muddy Waters ссылаются на данные расследования деятельности St. Jude Medical, предпринятого в 2014 г. Министерством внутренней безопасности США.
MedSec считает, что только потеря значительных сумм заставит производителей техники обратить действительно серьезное внимание на киберзащиту продуктов. При этом стартап сознательно нарушает базовые принципы этичного исследования безопасности, и делает это в сфере, где ставкой является человеческая жизнь.
Взломщики решили обнародовать подтвержденную информацию о том, что аппараты St. Jude Medical опасны для жизни пациентов. По плану хакеров, одновременно с этим Блок должен занять на бирже по отношению к компании «короткую позицию», то есть взять на себя обязательства по срочным сделкам при игре на понижение. Когда распространение компрометирующей информации ударит по репутации St. Jude Medical, и ее акции обвалятся, Блок сможет на этом заработать. Гонорар хакеров будет тем больше, чем сильнее упадут в цене акции.
По словам хакеров, уязвимость продуктов St. Jude Medical заключается в отсутствии шифрования и возможности подключаться к кардиостимуляторам и дефибрилляторам с неавторизованных устройств. MedSec утверждает, что кто угодно может подключиться к имплантам, вживленным в тела пациентов, и вызвать их фатальный сбой. О подобных угрозах говорят уже десять лет, но до сих пор риск, которому подвергаются сотни тысяч людей с имплантами St. Jude Medical, считался скорее теоретическим. Однако хакеры также скомпрометировали рентген-оборудование, анализаторы газов крови и другую технику в больницах и домах инвалидов, чтобы получить персональные данные пациентов. Ни MedSec, ни Muddy Waters пока не предают огласке ключевые технические подробности взлома.
Инцидент прокомментировала Кэндес Стил Флиппин(Candace Steele Flippin), вице-президент St. Jude Medical по внешним коммуникациям. Она заявила, что защита персональных данных является важнейшим приоритетом компании, и что St. Jude Medical осуществляет программу по тестированию информационной безопасности своего оборудования. В чем заключается программа, и какие изменения будут внесены в нее после происшествия, Флиппин не уточнила.
Обязательное условие этичного исследования безопасности – дать компании-производителю возможность ликвидировать уязвимости, прежде чем они станут широко известны массам потенциальных преступников. Но генеральный директор MedSecДжастин Боун заявил, что не может пойти этим путем, поскольку St. Jude Medical в прошлом игнорировала подобные предупреждения. Кроме того, существует вероятность, что компания будет преследовать хакеров в судебном порядке, чтобы заставить их молчать. MedSec и Muddy Waters ссылаются на данные расследования деятельности St. Jude Medical, предпринятого в 2014 г. Министерством внутренней безопасности США.
MedSec считает, что только потеря значительных сумм заставит производителей техники обратить действительно серьезное внимание на киберзащиту продуктов. При этом стартап сознательно нарушает базовые принципы этичного исследования безопасности, и делает это в сфере, где ставкой является человеческая жизнь.
.png)