Когда стартап MedSec, занимающийся кибербезопасностью, обнаружил, что кардиостимуляторы и дефибрилляторы компании St. Jude Medical Inc. имеют уязвимости и могут подвергнуть риску жизни людей, они не сообщили об этом производителю. Вместо этого они договорились с инвестиционной фирмой Muddy Waters Capital LLC и заработали себе компенсацию на управляемом обрушении акций производителя медоборудования.
Это первый случай, когда кто-то пытается получить компенсацию за раскрытие уязвимостей, используя шортинг (образование коротких позиций), говорит Кейси Эллис, президент Bugcrowd, платформы по поиску угроз.
Производитель оборудования St. Jude Medical отверг обвинения MedSec в наличие серьезных уязвимостей как не соответствующие действительности. Тем не менее, акции компании упали на 5% после публикации MedSec новости о наличие потенциальной угрозы жизни и здоровью пациентам.
MedSec оправдывает этичность своих действий тем, что St. Jude Medical не только допустила серьезные нарушения безопасности, но и в прошлом регулярно игнорировала вопросы безопасности, несмотря на официальные обращения MedSec. «Мы решили, что известив компанию, только дадим ей шанс подготовиться и замести весь мусор под ковер», — заявил представитель MedSec.
В России хакеры будут продавать уязвимости в ПО на бирже
Технологии
MedSec проводила исследования не из альтруистических побуждений — в качестве компенсации стартап получил гонорар и доход от инвестиций фирмы Muddy Waters Capital, которая неплохо заработала на падении акций St. Jude Medical. «Разумеется, мы ищем способ возместить наши затраты», — отвечает руководитель MedSec Джастин Бон, ведь мы работали над этим делом 1,5 года.
Тем не менее, не все считают такое поведение этичным. «Если мы будем привлекать слишком много внимания к этим уязвимостям, злоумышленники могут ими воспользоваться», — считает Джош Корман, директор Cyber Statecraft Initiative. Устранить недостаток в кардиостимуляторе, находящемся внутри человека, не то же самое, что исправить ошибку на сайте.
Медицина станет дешевле благодаря чатботам
Технологии
Сейчас к делу подключилось Управление по санитарному надзору за качеством пищевых продуктов и медикаментов, которое призывает пациентов сохранять спокойствие и продолжать пользоваться приборами, как и раньше.
Непонятно, к каким последствиям приведет этот инцидент, обеспокоивший многих: он может свидетельствовать о начале более агрессивных взаимоотношений между производителями и специалистами по безопасности, пишет ITNews.