Een onderzoeker heeft in verschillende medische infuussystemen die ziekenhuizen gebruiken om patiënten van geneesmiddelen te voorzien tal van kwetsbaarheden ontdekt waardoor een aanvaller alle infuussystemen in het ziekenhuis volledig kan overnemen of kan saboteren zodat ze stoppen met werken.

In mei 2014 rapporteerde onderzoeker Billy Rios een reeks beveiligingslekken in het PCA 3 Lifecare infuussysteem van fabrikant Hospira. Inmiddels zijn er 400 dagen gepasseerd en zijn de problemen nog altijd niet verholpen. Eind april van dit jaar onthulde een andere onderzoeker, Jeremy Richards, verschillende van dezelfde lekken die Rios een jaar eerder al had ontdekt. Vanwege de openbaarmaking door Richards kwam de Amerikaanse toezichthouder FDA met een beveiligingswaarschuwing. Daarin werd gewaarschuwd voor alleen problemen met de PCA 3 en PCA 5.

Productlijnen

Hospira heeft echter meerdere productlijnen. Een jaar geleden adviseerde Rios het bedrijf dan ook om de andere productlijnen te laten controleren. Vijf maanden na zijn verzoek kreeg hij te horen dat Hospira niet geinteresseerd was om te controleren of andere infuuspompen kwetsbaar waren. Daarop besloot de onderzoeker zelf de pompen op eigen kosten aan te schaffen en te analyseren. Rios ontdekte dat de andere pompen precies dezelfde software gebruiken, waardoor ze met dezelfde problemen als de PCA 3 te maken hebben.

Zo is het mogelijk om updates van de medicijnbibliotheek in het infuus te vervalsen, blijken identieke, niet te veranderen wachtwoorden en privésleutels voor meerdere productlijnen te worden gebruikt, alsmede encryptiecertificaten. Verder wordt er van verouderde software gebruik gemaakt waarin meer dan 100 kwetsbaarheden aanwezig zijn. "Het gebrek aan transparantie van Hospira is zeker teleurstellend", aldus Rios. Aangezien de software van de PCA 3 identiek is aan die van de andere producten stelt hij dat het onmogelijk is dat Hospira niet wist dat de problemen met de PCA 3 ook bij andere infuuspompen speelden.