医疗器械安全披露点燃了伦理风暴的道德

一家安全研究公司正在采取有争议的方法来披露漏洞：它将缺陷宣传为坦克公司股票的方式。

Security公司Medsec于周四提出了新闻，当您声称Sacemakers和Sacemakers和其他医疗保健产品中医疗中的医疗产品含有脆弱性，这些产品将它们暴露给黑客。

然而，Medsec还通过与投资公司的投资公司合作，在披露披露上，该公司也在讨论中扣押诉讼。

整个事件正在围绕安全社区抬起眉毛。Bug Bounty平台的首席执行官Ceay Ellis表示，这可能是第一次试图通过缩短股票来获得漏洞来解除漏洞。

这种方法提出了道德问题，因为Medsec首先向投资公司披露了诸如圣·耶和华的问题，这可能已经修复了他们，如果知道，这可能已经解决了它们。

“我认为这可能绝对把患者造成伤害的方式，”大西洋理事会思想坦克的网络雕像倡议主任Josh Corman说。

提高意识或现金抓取？

圣·雅德医疗已将Medsec的指控视为不真实。星期五，该公司发出了一份冗长的声明，指向它在研究索赔中所谓的缺陷。

仍然，由于脆弱性公布，St. Jude Medical的股票跌幅约为5％。

Medsec一直在捍卫其行动。佛罗里达州的公司表示，它已经花了过去18个月，在主要制造商上看了医疗器械的安全缺陷。

“英石。 Jude Medical突出，远离安全保护时严重缺乏，“CEO Justine Bone在彭博访谈中表示。

但Medsec表示，它没有告诉圣裘德医疗，因为公司拥有忽视安全问题的历史，尽管过去的监管行动。

“我们感到通知，公司只需给它一个机会准备它的”消息传递“，以努力扫描这个地毯，”Medsec在一封电子邮件中说。

但是，安全公司没有免费进行研究。泥泞的水资源资本是缺乏圣裘德医疗股票的投资公司。它将许可费和转发利润从其对Medsec的投资作为对研究的赔偿。

“当然，我们希望在这里恢复我们的成本，”骨头在彭博访谈中说。

意外的副作用

尽管有Medsec的索赔，但不是每个人都同意公司的方法。有些人甚至呼吁它危险，担心黑客现在可以从圣裘德医疗目标的产品。

“如何披露是至关重要的，”网络雕像“的Corman说。“如果我们对这些漏洞带来太多关注，对手可能需要瞄准它们。”

然而，这是一个秘密的秘密，市场上的许多医疗器械都有缺陷，哥伦比斯说，我也是我是骑兵的联合创始人，安全倡导群体。他说，医疗保健行业一直致力于改革自我的改革本身。

但披露起搏器的缺陷并不像在网站上找到缺陷一样简单。“这些都是在人类的胸部放入的产品中的缺陷，”Corman说。“你需要手术来删除它们。”

他对梅斯克德没有通过美国监管机构，包括食品和药物管理局，以解决所谓的问题的原因。那么患者和医院就可以得到适当通知。

在其防御中，Medsec声称St. Jude Medical可以采取一定措施，立即最大限度地减少安全风险。它还表示，它确实在星期四披露之前通知了FDA。

是时候担心了吗？

它不明确患者是否应该担心。虽然Medsec警告公众，但FDA仍在调查这个问题。

“目前，患者应继续使用他们的设备，如指示而不是改变任何植入的设备，”FDA周五表示。

Corman还表示，尽管存在安全风险，但植入的医疗器械保存了比他们危害的更远的生活。此外，圣裘德医疗说，大多数所谓的漏洞仅在较旧版本的患者监控产品中发现，这些产品没有接收自动更新。

尽管如此，该事件迫使安全行业仔细研究其实践。

“利润是正确的安全风险是正确的吗？”Bugcrowd“Sellis说。如果这样的事件可能会伤害安全研究人员和供应商之间的合作，并使他们的关系更加良好，他奇迹。

安全公司Alienvault的安全倡导者Javvad Malik表示，他同情与医疗设备持久漏洞感到沮丧的研究人员。

“然而，尽管有了良好的意图，但这可以设置令人担忧的先例，”他在一封电子邮件中说道。他担心其他安全研究人员将在正确披露漏洞的情况下优先考虑赚钱。