Lek in insulinepomp kan aanvaller insuline laten toedienen
Een beveiligingslek in een insulinepomp van fabrikant Medtronic kan een aanvaller op afstand insuline laten toedienen en een update zal niet worden gemaakt, zo waarschuwt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid.
De insulinepomp beschikt over een afstandsbediening waarmee de patiënt insuline kan toedienen. Een aanvaller kan het verkeer tussen de afstandsbediening en de insulinepomp opvangen en opnieuw afspelen, waardoor er opnieuw insuline wordt toegediend. Volgens het ICS-CERT staat de "remote" optie voor het toedienen standaard niet ingesteld, maar de patiënt kan dit eenvoudig inschakelen mocht hij hier gebruik van willen maken. Wel krijgt de patiënt bij het toedienen van insuline een waarschuwing en zou dit zo kunnen stoppen.
Verder is de communicatie tussen de pomp en draadloze accessoire onversleuteld. Hierdoor kan een aanvaller gevoelige informatie achterhalen, zoals de serienummers van het apparaat. Het ICS-CERT stelt dat Medtronic geen beveiligingsupdate voor deze twee kwetsbaarheden zal ontwikkelen. Gebruikers die van de afstandsbediening gebruikmaken krijgen dan ook het advies om alert te zijn op waarschuwingen van de insulinepomp. De kwetsbaarheden zijn onder andere aanwezig in de MiniMed 508, MiniMed Paradigm 522/722, 523/723, 523K/723K en MiniMed 530G
Dit bedrijf moet je dus mijden als de pest want ze willen de boel niet veilig maken. Waarom krijgt zo'n bedrijf dan niet een boete?
ThEYOSH
Waarom wordt dit dan niet van een pleister voorzien? Zal wel weer een kwestie van geld zijn en dat wat er schuil gaat achter het gezegde "als het kalf verdronken is, dempt men de put". Waarom is het elektriciteits hoofdgrid (3 main grids) in de USA nog steeds belabberd beveiligd in de tijd vol van kennelijke meldingen van Russische cyberaanvallen? Waarom worden de hoofdcomponenten slechts vervaardigd in Duitsland, bij Siemens en in Z-Korea en niet meer in het land van "We make Amerika great again" van president Trump? Zal wel weer een kwestie van geld zijn en verkeerde zuinigheid. Is het hier dus anders mee gesteld? Get real, man, do not slumber!
Eerst veiligheid en dan IoT uitrollen, maar we doen het liever weer andersom, want 'graaiers' hebben alleen verstand van graaien en dat vereist meestal andere intelligentie dan relevante kennis, Als de aandeelhouders maar gratis kaartjes kunnen verspreiden voor de ZiggoDrome concerten. Rechteloze faalstaat hier. Wij schaffen onszelf af houding.
Aan allen in de draad en daarbuiten een goede week gewenst,
Of ze ook aandacht aan de overige lekken hebben besteed heb ik geen idee van.
Een geïnteresseerde pompgebruiker.
Ik werkte toen ik nog in ziekenhuis en had hier wel eens gesprekken over met vertegenwoordigers van dit soort apparatuur(en ook over pacemakers en icd 's waar hetzelfde voor gold(geldt?).
Men deed hier toen niet zo dramatisch over(misschien ook uit marketinggronden)
Blijkbaar moet men het steeds nog leren
Er zit veel van ze in Nederland https://www.telegraaf.nl/financieel/1605533/philips-sluit-pact-met-medtronic
Het gaat hier letterlijk om mensen levens, ik ben echt benieuwd waarom ze geen update uitbrengen, zal het om geld gaan?
Dat zou echt een totale schande zijn, geld besparen ten koste van mensenlevens.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
