Theo AP, thông tin về lỗ hổng an ninh nói trên đã được các nhà nghiên cứu tại Công ty MedSec – một công ty nghiên cứu về an ninh mạng tập trung vào lĩnh vực chăm sóc sức khỏe xác nhận trong các báo cáo được công bố từ vài tháng trước nhưng chỉ được chính thức công bố sau khi nhà sản xuất thiết bị cấy ghép về tim St. Jude công bố phần mềm để vá lỗ hổng an ninh trên hôm 9/1..
Các thông tin cho hay, thiết bị bị ảnh hưởng bởi lỗ hổng an ninh của St. Jude là thiết bị điều trị các rối loạn nhịp tim nguy hiểm có thể gây ra trụy tim hay suy tim. Được cấy ghép dưới da vùng ngực, thiết bị này theo dõi nhịp tim và sốc tim trở lại tốc độ bình thường khi phát hiện nhịp tim có dấu hiệu bất thường nguy hiểm. Thiết bị truyền dữ liệu Merlin@home Transmitter được đặt tại nhà người bệnh sau đó sẽ tự động gửi các dữ liệu hoạt động của thiết bị được cấy dưới da nói trên tới một trang web để bác sỹ có thể xem xét. Đây chính là thiết bị được xác định có thể bị tấn công mạng.
Người phát ngôn FDA Angela Stark cho biết cuộc điều tra của cơ quan này và các cơ quan liên quan đã xác nhận những lỗ hổng của thiết bị truyền dữ liệu tại nhà người bệnh có thể khiến thiết bị này bị tấn công mạng, làm cạn kiệt pin trên thiết bị được cấy ghép, thay đổi nhịp độ, xử lý những cú sốc một cách không phù hợp và gây nguy hiểm tới trái tim người bệnh.
Tuy nhiên, phòng thí nghiệm của St. Jude thuộc Abbott trong một tuyên bố cho biết chưa nhận được thông tin về trường hợp tử vong hay bị thương nào do vấn đề về lỗ hổng bảo mật của thiết bị gây ra. Cục Quản lý thực phẩm và dược phẩm của Mỹ (FDA) cũng xác nhận chưa phát hiện bằng chứng cho thấy người bệnh gặp nguy hiểm vì vụ việc. Trong vài tháng tới, các bản vá an ninh sẽ được tự động cung cấp cho bệnh nhân.
Tiết lộ về khả năng tin tặc có thể giành quyền tiếp cận từ xa và thậm chí có thể gây ảnh hưởng tới trái tim của con người đã một lần nữa cho thấy những vấn đề về an ninh mạng trong một thế giới ngày càng kết nối hơn. Khuyến cáo của MedSec cũng cho thấy gánh nặng mà các nhà nghiên cứu về an ninh đang gặp phải khi phải cân nhắc giữa nghĩa vụ phải thông báo cho công chúng về những mối nguy hiểm tiềm tàng và lo ngại không gây ra những hoang mang không cần thiết cho người dân.
“Những bệnh nhân bình thường sẽ không bị những kẻ ám sát nhắm đến. Một vụ tấn công ở cấp thấp này ít có khả năng xảy ra nhưng nếu có sẽ có tác động lớn. Đây có lẽ là lỗ hổng an ninh có khả năng tác động tới mọi người lớn nhất mà tôi từng chứng kiến” – ông Matthew Green, một trợ lý giáo sư về khoa học máy tính tại Trường Đại học Johns Hopkins nhận định.
Trước đó, hồi năm 2015, FDA cũng đã ban hành 2 khuyến cáo an toàn tới các bệnh viện liên quan đến các thiết bị bơm thuốc do Hospira hiện thuộc Pfizer sản xuất. Thiết bị được nói đến là thiết bị dùng để bơm dần thuốc giảm đau, thuốc chống nhiễm trùng, các chất dinh dưỡng và dung dịch truyền khác qua đường tĩnh mạch. Các thiết bị này thường được lập trình chương trình hoạt động qua mạng lưới không dây của các bệnh viện. Trong khuyến cáo thứ 2, giới chức Mỹ yêu cầu các bệnh viện dừng sử dụng hệ thống truyền dịch Symbiq sau khi công ty sản xuất thừa nhận thiết bị này có thể bị tấn công mạng, cho phép người ngoài tái lập chương trình bơm thuốc.
