Инвестиционная компания Muddy Waters Research обнародовала сведения об уязвимостях в кардиостимуляторах и дефибрилляторах компании St. Jude Medical. Уязвимости были обнаружены сотрудниками компании MedSec, штаб-квартира которой располагается на Майами. В исследовании утверждается, что в устройствах St. Jude Medical есть уязвимости, которые позволяют манипулировать ритмом работы кардиостимулятора и полностью разрядить встроенную батарейку.
Собственно, давно известно, что уязвимости в таких устройствах, как кардиостимуляторы, есть, и они, как правило, очень опасны. Причем иногда даже для самих исследователей, которые эту уязвимость обнаружат. В частности, два года назад один из хакеров – Джек Барнаби, нашедший уязвимость в кардиостимуляторе и планирующий выступить с сообщением о ней на конференции Black Hat, неожиданно скончался при загадочных обстоятельствах за несколько дней до планируемого доклада. Пользовался ли он сам кардиостимулятором – не уточняется. Были и другие сообщения об уязвимостях.
Данный случай уникален тем, что исследователи в этот раз наняли консультанта по инвестициям – компанию Muddy Waters Research, которая будет заниматься получением прибыли от публикаций об уязвимостях. Не совсем понятно, как именно, однако после публикации сообщения об уязвимости акции St. Jude Medical подешевели на 5%, несмотря на то, что представители производителя заявили, что информация об уязвимости устройств не соответствует действительности.
Это новый способ получения прибыли на уязвимостях, который ранее использовался редко. Дело в том, что исследователи безопасности придерживались определенных правил разглашения информации об уязвимостях – они предварительно сообщали об обнаруженных проблемах производителю программного обеспечения и публиковали подробные сведения об уязвимостях уже после того, как производитель представил исправления. Манипуляция ценой акций компании – новый способ сравнительно честного способа получения прибыли от разглашения сведений об уязвимостях, который может нарушить существующий баланс отношений между производителями и хакерами, что чревато новыми публикациями об обнаруженных уязвимостях, которые на момент публикации еще не имеют решения.
Первоисточник: http://www.connect-wit.ru/dajdzhest-inostrannoj-pressy-po-informatsionnoj-bezopasnosti-za-avgust.html
Комментариев нет:
Отправить комментарий