圣犹达状告安全公司MedSec做空股票获利 后者曾经公开圣犹达心脏起搏器漏洞

针对医疗设备中的可疑漏洞，安全公司MedSec和圣犹达医疗公司陷入法律纠纷。无论如何，如果安全公司通过软件漏洞问题做空公司股票和以及公布漏洞来实现经济利益，这都是要谴责的，这是算是开了漏洞披露方法的先河。国内曾经有过某云的类似事件。

圣犹达状告安全公司MedSec做空股票获利

去年8月，安全公司MedSec披露， 圣犹达医疗公司的心脏起搏器和其他医疗保健产品中存在漏洞 ，给病人带来风险。然而，MedSec试图利用这些漏洞实现经济利益。这一点引起了争议：

MedSec与一家投资公司合作，做空圣犹达医疗公司的股票。自此，双方就可疑漏洞陷入法律纷争。

MedSec从中获利几何，这一点不得而知。但是，试图通过做空股票来获得漏洞发现的报酬，这可能尚属首例。Secure Ideas响应团队的网络安全专家和CEO（Nick Selby）如是说。他希望MedSec不是最后一个使用此方法者。他说：

“我认为他们开辟了一条道路。很长时间以来，厂商一直在阻碍安全研究人员发现软件漏洞。”

但是周一，MedSec做出了澄清。

圣犹达医疗公司（现已被雅培收购）已发布新的安全更新，可解决部分问题。

圣犹达医疗公司针对心脏起搏器产品发布了补丁

在周一当天，美国食品药品监督管理局在通知中解释说，该补丁修复了一个被利用后可耗尽起搏器电池或导致设备故障的漏洞。圣犹达医疗公司将漏洞严重性轻描淡写，称其是“极低的”安全风险。美国食品药品监督管理局还表示，目前“没有与该漏洞相关的病人伤害报告”。然而，MedSec的CEO（Justine Bone）在声明中表示，是他们的做法迫使圣犹达医疗公司采取了措施。

理想的情况是安全研究人员和厂商一起努力修复安全漏洞。但在这种情况下，MedSec决定公开叫板圣犹达医疗公司，声称后者有忽略安全问题的历史。Selby维护MedSec的做法，并警告称圣犹达医疗公司未修复全部漏洞。他也是验证漏洞发现的Bishop Fox公司IT咨询团队的成员。Selby表示：

“我们独立确认了这些漏洞，但是他们（圣犹达医疗公司）一直否认。而现在他们又在搞补丁，这说明了什么？”

但漏洞的修复以及后续的医疗产品漏洞应急响应都还是个问题

MedSec还声称，圣犹达在漏洞披露方面非常谨慎，从未公开漏洞背后的准确细节，以防止黑客利用这些漏洞。但其他人却不同意MedSec的做法。安全公司I Am The Cavalry的联合创始人Josh Corman表示：

“医疗设备有漏洞，不足为奇。问题是病人的安全未得到照顾和重视。”

Josh Corman一直协助美国监管机构和安全专家，以实现对电子产品更好的保护。然而，他表示，MedSec在漏洞披露方面的做法太挑衅了。他说：“已有律师介入，然后又缺乏信任。要5个月时间才能解决这个问题。

对于那些面临厂商抗议的安全研究人员，Corman建议他们与美国监管机构（比如美国食品药品监督管理局）合作修复漏洞。他指出， 美国食品药品监督管理局上月制定了新规 ，呼吁医疗设备厂商在了解漏洞后的30至60天内缓解漏洞。

然而，Corman还希望其他人能够跟随MedSec的步伐。目前，他已收到了来自对利用产品中的安全漏洞做空公司股票感兴趣的对冲基金的电话交流。“对冲基金正向我走来。”他说道。