Investeringsbedrijf onthult ernstige lekken in pacemakers
Een beveiligingsbedrijf en een investeringsbedrijf uit de Verenigde Staten hebben ernstige kwetsbaarheden in de pacemakers van het bedrijf St Jude Medical naar buiten gebracht om niet alleen patiënten te informeren maar er zelf ook financieel van te profiteren.
Via de beveiligingslekken kan een aanvaller met nauwelijks enige technische kennis de hartslag gevaarlijk verhogen, de apparaten uitschakelen of de batterij laten leeglopen. Een oplossing is nog niet beschikbaar. In tegenstelling wat beveiligingsbedrijven en -onderzoekers in dit soort situaties vaak doen, het waarschuwen van de fabrikant, besloot beveiligingsbedrijf MedSec de fabrikant niet te informeren. Niet alleen zou de veiligheid van de producten van St Jude Medical ernstig te wensen overlaten, volgens de onderzoekers wist het bedrijf al sinds 2013 van de beveiligingsproblemen af, maar besloot het geen actie te ondernemen.
Om naar eigen zeggen patiënten te helpen en het probleem wereldkundig te maken werd de hulp van investeringsbedrijf Muddy Waters ingeschakeld. Niet alleen heeft het investeringsbedrijf het onderzoeksrapport gepubliceerd (pdf), ze stellen ook dat St Jude Medical twee jaar lang geen winst zal maken, omdat het bedrijf volgens de investeerders alle pacemakers moet terugroepen. De apparaten waren vorig jaar voor bijna de helft van de omzet verantwoordelijk. "We vinden de kwetsbaarheden in de pacemakers van St Jude Medical vele malen erger dan de hacks van medische apparaten die in het verleden zijn geopenbaard." Het investeringsbedrijf meldt dat het geen kennis van cybersecurity heeft, maar de aanvallen zelf heeft kunnen nabootsen.
Het probleem zijn de Merlin@home-apparaten die zich in het huis van patiënten bevinden en worden gebruikt om met de pacemakers van St Jude Medical te communiceren. Vervolgens sturen de apparaten de gegevens naar het netwerk van St Jude Medical door. Volgens MedSec wordt er geen authenticatie en encryptie voor de communicatie gebruikt. Iedereen die een Merlin@Home-apparaat weet te vinden, die voor 35 dollar op eBay zouden worden aangeboden, kan vervolgens een pacemaker van iemand anders bedienen. De kwetsbare pacemakers zouden wereldwijd door honderdduizenden mensen worden gedragen.
Naast het openbaren van de problemen kan MedSec ook aan de beveiligingslekken verdienen. Muddy Waters is namelijk "short" gegaan op de aandelen van St Jude Medical. Als de koers naar aanleiding van het onderzoeksrapport daalt zal het investeringsfonds hiervan profiteren en de winst vervolgens met het beveiligingsbedrijf delen.
Ik raad je aan deze wetenschappelijke studie (http://www.secure-medicine.org/public/publications/icd-study.pdf) eens te lezen, dan zul je zien dat er wel degelijk bi-directioneel verkeer plaats vindt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.