سازمان غذا و دارو درباره آسیب‌پذیری‌های امنیت فضای مجازی به برنامه نویسان Medtronic هشدار داد .

.

Medtronic به تازگی قابلیت بروز رسانی اینترنت دو سرویس CareLink ( مورد استفاده در دستگاه‌های تنظیم کننده‌ی ضربان قلب) را غیر فعال کرد. پس از تلاش مشترک اداره غذا و داروی ایالات متحده آمریکا و شرکت، متوجه آسیب‌پذیر بودن فرایند بروز رسانی شدند که نرم افزار را تحت تاثیر حملات سایبری قرار می‌داد.
آسیب پذیری هایی که در فرآیند به روز رسانی مشخص شده اند، به فرد این امکان را می دهد که دستگاه ها را بدون نرم‌افزار Medtronic به روزرسانی کند که این آسیب ‌پذیری بسته به هدف مهاجم و شرایط بیمار می‌تواند منجر به آسیب به شرایط بیمار شود.
FDA نیز بیانیه ای را درباره جزئیات آسیب پذیری که بر روی دستگاه های Medtronic Carelink 2090 و Carelink Encore 29901 تأثیر می گذارد منتشر کرد. این دستگاه های کامپیوتر ی قابل حمل برای دستگاه های الکتروفیزیولوژی ایمنی قلب (CIED) از قبیل دستگاه تنظیم کننده ی ضربان قلب ، دستگاه های تنظیم مجدد قلب و مانیتورهای قلبی قابل جابجایی استفاده می شوند. همچنین به پزشکان اجازه می‌دهند تا اطلاعاتی مانند اطلاعات عملکرد و وضعیت باتری و غیره را از CIED جمع‌آوری کنند و می‌توانند دستگاه را براساس بهبود سلامت بیمار تنظیم کنند Medtronic. نیز می تواند از این دستگاه ها برای ارایه به روز رسانی نرم‌افزار استفاده کند. علاوه بر این، نرم افزار این دستگاه را می توان از طریق اینترنت دانلود و سپس از طریق اتصال به شبکه توزیع نرم افزار Medtronic یا با استفاده از یک کابل USB، از طریق اینترنت به روزکرد. زمانی که دستگاه به شبکه توزیع نرم افزار Medtronic از طریق اینترنت برای به روز رسانی ارتباط برقرار می‌کند ، از یک شبکه خصوصی مجازی استفاده می‌کند و باید وضعیت اتصال VPN را قبل از دانلود به روز رسانی نرم‌افزار بررسی شود ولی با این حال وضعیت اتصال VPN قبل از فرایند دانلود چک نمی شود.
FDAدر بیانیه‌ ای اعلام کرد: “برای پرداختن به این آسیب‌پذیری و بهبود ایمنی بیمار، در روز ۵ اکتبر سال ۲۰۱۸، FDA به روز رسانی Medtronic را مسدود کرده که این امر عمده دستگاه ها را را از دسترسی به شبکه توزیع نرم افزار (SDN) Medtronic منع خواهد کرد. ”
Medtronic در بولتن امنیتی خود گفت: “برای از بین بردن این آسیب پذیری ها و افزایش امنیت دستگاه ها، Medtronic دسترسی به SDN را غیر فعال کرده است. هنگامی که به روز رسانی نرم افزار مورد نیاز است، یک نماینده از Medtronic به طور دستی با استفاده از یک کابل USB امن، دستگاه های CareLink 2090 و CareLink Encore 29901 را به روز رسانی می کند. ”
Medtronic تا به امروز به علت سو استفاده از آسیب‌پذیری، دچار خرابی نشده است. با این حال، Medtronic اعلام کرد که عوارض جانبی یا مشکلات کیفیت را می توان به صورت آنلاین، از طریق ایمیل و یا توسط فکس گزارش کرد.