Strona główna

Informacja o krytycznych lukach może być towarem na sprzedaż

  • Haubica samobieżna Krab z nowym podwoziem. Fot. M. Dura/Defence24.pl.

Firma cyberbezpieczeństwa MedSec, odkryła krytyczne luki w produktach stworzonych przez St. Jude Medical, która zajmuje się tworzeniem medycznych urządzeń dla szpitali i klinik. Tym razem zamiast poczekać aż firma załata dziury w swoim oprogramowaniu, MedSec postanowiło sprzedać wiedzę o lukach firmie inwestującej na giełdach.

O tym, że w dzisiejszej rzeczywistości informacja jest najcenniejszym obecnie towarem, nikogo raczej nie trzeba przekonywać. Widać to doskonale przy okazji działań służb wywiadu, tego tradycyjnego oraz elektronicznego, które starają się za wszelką cenę zdobyć jak najwięcej informacji oraz przetworzyć je na realną, praktyczną wiedzę. W ten sposób do sprawy podeszła firma MedSec, która nawiązała współpracę z Muddy Waters Research - inwestorem akcyjnym. Przedsiębiorstwo inwestujące w informacje, jakie udało się odnaleźć MedSec, upubliczni informacje dotyczące luki, w zamian za część profitów jakie zdobędzie. Inwestor ma wykorzystać odpowiednią wiedzę, działając na swoją korzyść i zarabiając na inwestycjach wymierzonych w firmę St. Jude Medical.

W przypadku podania luki podmiotowi, firmy cyberbezpieczeństwa mogą liczyć na podziękowanie, w niektórych przypadkach, jeżeli prowadzony  jest realny dział Bug bounty, na gratyfikację pieniężną. Jednak jak widać po MedSec, firma wybrała kompletnie inną drogę, czyli zamianę poświęconego czasu na wyszukanie luk na realne pieniądze bez kontaktu z korporacją, na której urządzeniach przeprowadzili testy penetracyjne. Jak podkreśliła Justina Bone z MedSec, jego firma przy umowie z Muddy Waters Research, chce jedynie uzyskać rekompensatę za ponad półtora roku badań, podczas których udało im się wykryć krytyczne luki w urządzeniach produkowanych przez firmę medyczną jak podał Bloomberg.

– Gdybyśmy objęli tradycyjną, do tej pory wykorzystywaną drogę, tak jak robiły to przed nami inne organizacje, nie uzyskaliśmy by pożądanego efektu. Mogło by się to nawet skończyć wyciszeniem nas oraz zamiecenie sprawy pod dywan – powiedziała Bloombergowi Justina Bone. Wspomniała jednocześnie o sprawie z 2014, która opisała agencja Reuters. Departament Obrony USA zgłosił problemy wynikające z używania nieodpowiednich poziomów zabezpieczeń w urządzeniach firmy St. Jude Medical, według niej nic nie miało się w tym miejscu zmienić od tamtej pory.

Według informacji MedSec, problem aktualnie ma się znajdować w rozrusznikach serca, które zaatakowane mogą zostać tak zmodyfikowane aby bardzo szybko zużywały swoje baterie oraz zmienić szybkość działania samego rozrusznika co może mieć wpływ na zdrowie pacjentów.

Eksperci ds. cyberbezpieczeństwa w komentarzu dla Washington Post, podkreślili, że myślenie o spieniężeniu samego odkrycia bez konsultacji z odpowiednimi organami administracji jakim niewątpliwie jest Agencja Żywności i Leków (FDA) jest nowością na rynku. Sama agencja, często współpracuję przy takich problemach z firmami, stąd zdziwienie niektórych ekspertów. Pomysł na takie spieniężenie swoich odkryć w firmach cyberbezpieczeństwa, miało krążyć od pewnego czasu, jak podaje Washington Post, jednak dopiero teraz MedSec swoim działaniem zrealizowało pomysł jako pierwsze. Eksperci nie podają, czy inne firmy pójdą ich śladem, jednak możemy być świadkami zmian, jak podkreśliła Andrea Peterson, w artykule na stronie Washington Post.

Czytaj też: Federalna Komisja Handlu ostrzega przed wyciekiem danych z smartfonów

Komentarze