8月25號，圣裘德醫療設備公司在曝出產品存在重大網絡安全漏洞后，股價暴跌。

MedSec，專業醫療設備網絡安全公司；Muddy Waters(渾水)，投資研究公司；這兩家公司前所未有地聯手針對圣裘德展開了行動，指責該廠商嚴重忽視網絡安全，并敦促其召回產品。

MedSec是一家2015年成立的公司，稱其分析了4家主要醫療設備廠商的產品，確認圣裘德是其中最不安全的。

該安全公司的分析師針對圣裘德的多種產品進行了分析，包括植入患者體內的心臟設備(例如：心臟起搏器和植入型心律轉復除顫器)、內科醫生用以配置和監視植入設備的程控板、圣裘德的Merlin.net網絡，以及Merlin@home信號傳送器。Merlin@home產品部署在患者家里，以無線射頻從植入型心臟設備收集健康數據，并通過電話、寬帶或蜂窩連接將數據發送到Merlin.net。

工業控制系統(ICS)網絡安全大會

MedSec從一名執業醫師處獲得二手Merlin@home設備和程控板，并對此進行了分析，發現了因缺乏合適的加密和認證而出現的幾個嚴重問題。研究人員稱，這些漏洞讓設備和用戶在攻擊面前毫無防備，甚至水平很低的黑客都能得手。

MedSec稱其開發了概念驗證漏洞利用程序，可證明攻擊者能遠程導致心臟設備誤操作或極快消耗掉電量(例如：若攻擊在夜間發起，可在兩周內耗干電量)。

將完全披露作為投資策略的一部分

圣裘德確實有一套責任披露程序。該公司設置了專門的郵件地址接收研究人員對其產品漏洞的報告。

然而，MedSec并未將其發現報告給圣裘德，而是聯系了渾水研究公司。渾水公司作為顧問加盟該安全公司，授權其研究，并基于其投資效益發放報酬。

兩家公司發布的報告稱，有很大的可能性，在大約2年內圣裘德的利潤會因這些安全問題而縮水一半。渾水投資研究公司指出：受影響的產品占圣裘德2015年收益的46%，理應被召回并修復，而這個過程將耗時2年。

渾水公司以其激進的戰術而聞名業內，它預測圣裘德醫療設備公司的股票將因這些問題而下跌，賣空策略可以為渾水公司和MedSec帶來巨大好處。

MedSec承認：將其發現帶給渾水公司的決定對公司是有好處的。但同時也宣稱：主要目的還是提起人們的關注。該安全公司的CEO在彭博社的訪談中稱，他們擔心如果直接報告給圣裘德，真相可能會被掩藏。

“我們承認，我們這種不遵循傳統網絡安全實踐的做法會招致批評，但我們相信，這是刺激圣裘德有所動作的唯一方法。最重要的是，我們認為，潛在和現有患者有權知道他們面臨的風險。”MedSec首席執行官賈斯汀·博在公司的博客上如此說道。

MedSec的報告只包含有有限的漏洞技術信息，讓人難以驗證他們的主張。雖然報告聚焦在最壞情況上，其作者也指出他們沒有察覺到對患者安全的任何緊迫威脅。

圣裘德稱這些指控是“完全不真實的”。該公司宣稱，會對其醫療設備和網絡設備，進行持續的安全測試。

圣裘德首席技術官菲爾·埃博林說：“我們有多層安全措施。我們有持續的安全評估，且這些安全評估都是與外部專家合作，針對Merlin@home和所有我們的設備進行的。”

盡管報告披露后該公司股價暴跌8%以上，在圣裘德否認指控當天，股價又回升了3%。

比利·里奧斯，專注于醫療設備分析的安全研究員，盡管避免有所偏頗，還是對制造商提供了一些建議。

“整個責任披露辯論已經持續了幾十年。雙方各有一些很好的論點。我建議設備制造商接受不同研究人員會采取不同披露方式的現實。這些方式或許也不總是站在制造商的最佳利益點。”

“對制造商而言，最好的方式，就是不要試圖控制研究人員，而是把精力放到打造健壯的安全工程項目和過程上。制造商安全策略不應該建立在陌生人的好心上。”

圣裘德是2014年美國國土安全部工業控制系統網絡應急響應小組(ICS-CERT)對醫療設備和醫院設施進行的調查中，被抽檢的幾家公司之一。

TrapX，一家以誘捕式安全技術見長的公司，指出：在高層次上，圣裘德起搏器本質上是物聯網設備。

“物聯網安全比較棘手是有很多原因的：由于設備規模，很多設備無法容納操作系統或處理能力以支持多層安全解決方案；很多時候設備生態系統都是開放的，以便能與其他設備通信，也就增加了潛在的威脅攻擊方法；設備配置也會頻繁更新，安全平臺沒辦法跟上如此頻繁的改變。”

為更好的保護此類設備，TrapX建議制造商對所有原始設備制造商(OEM)組件進行設計審查，開發出快速集成軟件和硬件修復的策略，避免在產品設備中留下USB啟動的漏洞，加密簽名軟件，保護項目管理接口，并進行安全測試，最好采用第三方公司。