一家安全研究公司正在采取有争议的方法来披露漏洞:它将缺陷宣传为坦克公司股票的方式。
Security公司Medsec于周四提出了新闻,当您声称Sacemakers和Sacemakers和其他医疗保健产品中医疗中的医疗产品含有脆弱性,这些产品将它们暴露给黑客。
然而,Medsec还通过与投资公司的投资公司合作,在披露披露上,该公司也在讨论中扣押诉讼。
整个事件正在围绕安全社区抬起眉毛。Bug Bounty平台的首席执行官Ceay Ellis表示,这可能是第一次试图通过缩短股票来获得漏洞来解除漏洞。
这种方法提出了道德问题,因为Medsec首先向投资公司披露了诸如圣·耶和华的问题,这可能已经修复了他们,如果知道,这可能已经解决了它们。
“我认为这可能绝对把患者造成伤害的方式,”大西洋理事会思想坦克的网络雕像倡议主任Josh Corman说。
圣·雅德医疗已将Medsec的指控视为不真实。星期五,该公司发出了一份冗长的声明,指向它在研究索赔中所谓的缺陷。
仍然,由于脆弱性公布,St. Jude Medical的股票跌幅约为5%。
Medsec一直在捍卫其行动。佛罗里达州的公司过去了18个月在主要制造商上看了医疗器械的安全缺陷。
“英石。 Jude Medical突出,远离安全保护时严重缺乏,“CEO Justine Bone在彭博访谈中表示。
但Medsec表示,它没有告诉圣裘德医疗,因为公司拥有忽视安全问题的历史,尽管过去的监管行动。
“我们感到通知,公司只需给它一个机会准备它的”消息传递“,以努力扫描这个地毯,”Medsec在一封电子邮件中说。
但是,安全公司没有免费进行研究。泥泞的水资源资本是缺乏圣裘德医疗股票的投资公司。它将许可费和转发利润从其对Medsec的投资作为对研究的赔偿。
“当然,我们希望在这里恢复我们的成本,”骨头在彭博访谈中说。
尽管有Medsec的索赔,但不是每个人都同意公司的方法。有些人甚至呼吁它危险,担心黑客现在可以从圣裘德医疗目标的产品。
“披露如何披露至关重要,”Corman说。“如果我们对这些漏洞带来太多关注,对手可能需要瞄准它们。”
然而,这是一个秘密的秘密,市场上的许多医疗器械都有缺陷,哥伦比斯说,我也是我是骑兵的联合创始人,安全倡导群体。他说,医疗保健行业一直致力于改革自我的改革本身。
但披露起搏器的缺陷并不像在网站上找到缺陷一样简单。“这些都是在人类的胸部放入的产品中的缺陷,”Corman说。“你需要手术来删除它们。”
他对梅斯克德没有通过美国监管机构,包括食品和药物管理局,以解决所谓的问题的原因。那么患者和医院就可以得到适当通知。
在其防御中,Medsec声称St. Jude Medical可以采取一定措施,立即最大限度地减少安全风险。它还表示,它确实在星期四披露之前通知了FDA。
它不明确患者是否应该担心。虽然Medsec警告公众,但FDA仍在调查这个问题。
“目前,患者应继续使用他们的设备,如指示而不是改变任何植入的设备,”FDA周五表示。
Corman还表示,尽管存在安全风险,但植入的医疗器械保存了比他们危害的更远的生活。此外,圣裘德医疗说,大多数所谓的漏洞仅在较旧版本的患者监控产品中发现,这些产品没有接收自动更新。
尽管如此,该事件迫使安全行业仔细研究其实践。
“利润是正确的安全风险是正确的吗?”Bugcrowd“Sellis说。如果这样的事件可能会伤害安全研究人员和供应商之间的合作,并使他们的关系更加良好,他奇迹。
安全公司Alienvault的安全倡导者Javvad Malik表示,他同情与医疗设备持久漏洞感到沮丧的研究人员。
“然而,尽管有了良好的意图,但这可以设置令人担忧的先例,”他在一封电子邮件中说道。他担心其他安全研究人员将在正确披露漏洞的情况下优先考虑赚钱。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。