image

Lek in insulinepomp kan aanvaller insuline laten toedienen

vrijdag 10 augustus 2018, 11:03 door Redactie, 9 reacties

Een beveiligingslek in een insulinepomp van fabrikant Medtronic kan een aanvaller op afstand insuline laten toedienen en een update zal niet worden gemaakt, zo waarschuwt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid.

De insulinepomp beschikt over een afstandsbediening waarmee de patiënt insuline kan toedienen. Een aanvaller kan het verkeer tussen de afstandsbediening en de insulinepomp opvangen en opnieuw afspelen, waardoor er opnieuw insuline wordt toegediend. Volgens het ICS-CERT staat de "remote" optie voor het toedienen standaard niet ingesteld, maar de patiënt kan dit eenvoudig inschakelen mocht hij hier gebruik van willen maken. Wel krijgt de patiënt bij het toedienen van insuline een waarschuwing en zou dit zo kunnen stoppen.

Verder is de communicatie tussen de pomp en draadloze accessoire onversleuteld. Hierdoor kan een aanvaller gevoelige informatie achterhalen, zoals de serienummers van het apparaat. Het ICS-CERT stelt dat Medtronic geen beveiligingsupdate voor deze twee kwetsbaarheden zal ontwikkelen. Gebruikers die van de afstandsbediening gebruikmaken krijgen dan ook het advies om alert te zijn op waarschuwingen van de insulinepomp. De kwetsbaarheden zijn onder andere aanwezig in de MiniMed 508, MiniMed Paradigm 522/722, 523/723, 523K/723K en MiniMed 530G

Reacties (9)
10-08-2018, 12:28 door Anoniem
En waarom wordt dit dan niet gepatched?
10-08-2018, 13:16 door Anoniem
Ah.. netzo als de pacemakers... https://www.security.nl/posting/573042/Malware+kan+pacemaker+levensgevaarlijke+schokken+laten+geven

Dit bedrijf moet je dus mijden als de pest want ze willen de boel niet veilig maken. Waarom krijgt zo'n bedrijf dan niet een boete?

ThEYOSH
10-08-2018, 13:48 door Anoniem
@ Anoniem van 12:28

Waarom wordt dit dan niet van een pleister voorzien? Zal wel weer een kwestie van geld zijn en dat wat er schuil gaat achter het gezegde "als het kalf verdronken is, dempt men de put". Waarom is het elektriciteits hoofdgrid (3 main grids) in de USA nog steeds belabberd beveiligd in de tijd vol van kennelijke meldingen van Russische cyberaanvallen? Waarom worden de hoofdcomponenten slechts vervaardigd in Duitsland, bij Siemens en in Z-Korea en niet meer in het land van "We make Amerika great again" van president Trump? Zal wel weer een kwestie van geld zijn en verkeerde zuinigheid. Is het hier dus anders mee gesteld? Get real, man, do not slumber!

Eerst veiligheid en dan IoT uitrollen, maar we doen het liever weer andersom, want 'graaiers' hebben alleen verstand van graaien en dat vereist meestal andere intelligentie dan relevante kennis, Als de aandeelhouders maar gratis kaartjes kunnen verspreiden voor de ZiggoDrome concerten. Rechteloze faalstaat hier. Wij schaffen onszelf af houding.

Aan allen in de draad en daarbuiten een goede week gewenst,
10-08-2018, 16:19 door Anoniem
De nieuwere pomp van Medtronic heeft iets waardoor die minder kwetsbaar is, namelijk een steeds wisselende actie van de gebruiker. Bovendien houdt Medtronic in Nederland een levensduur van 4 jaar en is de 640G pomp al anderhalf à twee jaar verkrijgbaar.
Of ze ook aandacht aan de overige lekken hebben besteed heb ik geen idee van.
Een geïnteresseerde pompgebruiker.
10-08-2018, 18:52 door Anoniem
Z'on 8 jaar geleden waren er al dit soort publicaties over insulinepompen.
Ik werkte toen ik nog in ziekenhuis en had hier wel eens gesprekken over met vertegenwoordigers van dit soort apparatuur(en ook over pacemakers en icd 's waar hetzelfde voor gold(geldt?).
Men deed hier toen niet zo dramatisch over(misschien ook uit marketinggronden)
Blijkbaar moet men het steeds nog leren
10-08-2018, 20:12 door karma4
De naam kom bekend voor {url]https://en.wikipedia.org/wiki/Medtronic[/url] vitatron is door ze gekocht..
Er zit veel van ze in Nederland https://www.telegraaf.nl/financieel/1605533/philips-sluit-pact-met-medtronic
10-08-2018, 21:02 door Anoniem
Wel handig voor de black hats......
12-08-2018, 03:32 door Anoniem
Waarom geven ze het geen beveiligings-update?

Het gaat hier letterlijk om mensen levens, ik ben echt benieuwd waarom ze geen update uitbrengen, zal het om geld gaan?
Dat zou echt een totale schande zijn, geld besparen ten koste van mensenlevens.
12-08-2018, 03:38 door Anoniem
''Verder is de communicatie tussen de pomp en draadloze accessoire onversleuteld. Hierdoor kan een aanvaller gevoelige informatie achterhalen, zoals de serienummers van het apparaat.''

Waarom is het trouwens onversleuteld?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.