Открыт новый способ заработка на киберуязвимостях

Это первый случай, когда кто-то пытается получить компенсацию за раскрытие уязвимостей, используя шортинг (образование коротких позиций), говорит Кейси Эллис, президент Bugcrowd, платформы по поиску угроз.

Производитель оборудования St. Jude Medical отверг обвинения MedSec в наличие серьезных уязвимостей как не соответствующие действительности. Тем не менее, акции компании упали на 5% после публикации MedSec новости о наличие потенциальной угрозы жизни и здоровью пациентам.

MedSec оправдывает этичность своих действий тем, что St. Jude Medical не только допустила серьезные нарушения безопасности, но и в прошлом регулярно игнорировала вопросы безопасности, несмотря на официальные обращения MedSec. «Мы решили, что известив компанию, только дадим ей шанс подготовиться и замести весь мусор под ковер», — заявил представитель MedSec.

MedSec проводила исследования не из альтруистических побуждений — в качестве компенсации стартап получил гонорар и доход от инвестиций фирмы Muddy Waters Capital, которая неплохо заработала на падении акций St. Jude Medical. «Разумеется, мы ищем способ возместить наши затраты», — отвечает руководитель MedSec Джастин Бон, ведь мы работали над этим делом 1,5 года.

Тем не менее, не все считают такое поведение этичным. «Если мы будем привлекать слишком много внимания к этим уязвимостям, злоумышленники могут ими воспользоваться», — считает Джош Корман, директор Cyber Statecraft Initiative. Устранить недостаток в кардиостимуляторе, находящемся внутри человека, не то же самое, что исправить ошибку на сайте.

Сейчас к делу подключилось Управление по санитарному надзору за качеством пищевых продуктов и медикаментов, которое призывает пациентов сохранять спокойствие и продолжать пользоваться приборами, как и раньше.

Непонятно, к каким последствиям приведет этот инцидент, обеспокоивший многих: он может свидетельствовать о начале более агрессивных взаимоотношений между производителями и специалистами по безопасности, пишет ITNews.