Fabrikant negeert ernstig lek in insulinepompjes
Een beveiligingslek in bepaalde insulinepompjes waardoor hackers een fatale dosis aan patiënten kunnen leveren is twee jaar na de bekendmaking nog altijd niet gepatcht. Het gaat om de apparatuur van Medtronic. Het insulinepompje werkt samen met een glucosemonitor (CGM), die het glucoseniveau van het bloed meet. Deze informatie wordt vervolgens aan het insulinepompje doorgespeeld.
Het pompje kan zo berekenen hoeveel insuline het moet leveren. Deze draadloze verbinding tussen beide apparaten is handig voor de patiënt, maar blijkt niet veilig te zijn ontworpen. Beveiligingsonderzoeker Jerome Radcliffe, die zelf aan diabetes leidt, ontdekte dat een geldig serienummer volstaat om met het insulinepompje te communiceren.
Dosis
Door het verkeer tussen de CGM en het pompje met radioapparatuur op te vangen, kan hij dit verkeer opnieuw afspelen om bijvoorbeeld de pomp uit te schakelen of een onjuiste dosis insuline af te geven. In eerste instantie wilde fabrikant Medtronic meer over de kwetsbaarheid weten, maar verklaarde later dat het geen groot probleem is.
Er zouden geen signalen zijn dat het lek actief in het wild wordt misbruikt en het zou lastig voor een aanvaller zijn om de aanval uit te voeren. Daardoor zijn twee jaar na de bekendmaking verschillende modellen nog steeds kwetsbaar, zo ontdekte beveiligingsbedrijf Lookout.
lijkt wel pearl harbor.
De gevolgen van een EPD zijn veel desastreuzer...
Ondertussen lopen er dus mensen rond met een medisch hulpmiddel dat makkelijk zat te gebruiken is om ze ongezien dood te vermoorden.
Gelukkig denkt de fabrikant dat het geen groot probleem is, ondanks dat het achteraf vermoedelijk niet eens vast te stellen is of het apparaatje beinvloed is door een crimineel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
