Хакеры использовали данные об уязвимости смарт-девайсов, чтобы заработать на бирже

31 Августа 2016 0

Хакеры, действующие в интересах стартапа MedSec, нашли способ взломать кардиостимуляторы и дефибрилляторы производства компании St. Jude Medical. Информацию об обнаруженных уязвимостях они передали главе инвестиционной фирмы Muddy Waters Capital, чтобы заработать на падении акций St. Jude Medical, пишет Bloomberg.

Согласно отчету Muddy Waters, хакеры обнаружили, что к некоторым девайсам St. Jude Medical, в частности кардиостимуляторам и дефибрилляторам, можно подключиться с неавторизованных устройств на расстоянии 15 м. Таким образом можно вывести прибор из строя, например разрядив батарею.

Самыми уязвимыми элементами в системе оборудования оказались программаторы Merlin.net, а также трансмиттеры Merlin@home. Merlin@home устанавливаются дома у пациентов. Они собирают данные о работе кардиоприборов, а затем передают их на серверы Merlin.net.

«Эти устройства можно запросто купить на Ebay не более чем за $35. Любой программатор или устройство Merlin@home может выходить на связь с другими кардиологическими устройствами, так как используемый ими протокол не имеет надежного механизма аутентификации», — пишут авторы отчета.

C помощью устройства Merlin@home можно взломать смарт-девайс производства St. Jude Medical. MedSec и Muddy Waters также ссылаются на данные расследования деятельности St. Jude Medical, проведенного в 2014 г. Министерством внутренней безопасности США и предупреждают, что производитель подвергает опасности жизнь и здоровье своих клиентов.

После публикации этого отчета акции St. Jude Medical упали на 4,5%. Сколько на этом заработали MedSec и Muddy Waters Capital, неизвестно. 

Как пишет Bloomberg, это первый случай, когда хакеры решили использовать данные об уязвимости для заработка на бирже. В ответ на обвинения в неэтичной сделке глава Muddy Waters Карсон Блок заявил, что хочет предотвратить «кошмарный сценарий, когда кто-то может начать массовую атаку и вывести устройства из строя» и добавил, что St. Jude Medical «должен прекратить продавать эти устройства до тех пор, пока не разработает новый защищенный протокол связи».

Тем временем компания St. Jude Medical отрицает возможность такой кибератаки. В официальном заявлении спикер компании утверждает, что после установки имплантата радиус действия беспроводных коммуникаций составляет не более двух метров. Кроме того, чтобы разрядить аккумулятор, хакеру необходимо подавать сигналы на устройство в течение нескольких дней. «Если подобная ситуация все же случится, что маловероятно, имплантированные устройства подадут вибро-предупреждение, если заряд батареи опустится ниже допустимого уровня», — подчеркнули в St. Jude Medical.

Компания MedSec, основанная в 2015 г., базируется в Майами и предлагает услуги по тестированию и обеспечению безопасности медицинского оборудования.

Комментарии 0
Войдите, чтобы оставить комментарий
Пока пусто
Блоги

Авторские колонки

Ошибка