Uma coisa terrível e sem precedentes acabou de acontecer no mundo da ética hacker, o que levantou discussões sobre como deve ser feita a divulgação pública de falhas de segurança em dispositivos de saúde.

Depois de encontrarem sérias vulnerabilidades nos marca-passos e desfibriladores da St. Jude Medical, a empresa de pesquisa e segurança MedSec decidiu levar essa informação para um investidor que então apostou contra a empresa no mercado de ações. Ele fez isso em vez de notificar a vulnerabilidade, que em teoria poderia colocar vidas em risco, para a fabricante dos dispositivos.

Como explicou a Bloomberg:

A MedSec sugeriu uma parceria sem precedentes: os hackers forneceriam dados provando que os dispositivos médicos ameaçavam vidas, e [Carson] Block [da firma de investimento Muddy Waters] adotaria uma posição contra a St. Jude. A taxa dos hackers pela informação aumentou conforme o preço das ações da St. Jude caia, o que significa que tanto a Muddy Waters como a MedSec lucraram com isso. Se a aposta não funcionasse, e as ações não caíssem, a MedSec poderia perder dinheiro.

As ações da St. Jude fecharam com queda de cerca de 4% na quinta-feira (26). A Abbot Laboratories fez uma proposta de US$ 25 bilhões para comprar a St. Jude em abril. Graças a essas vulnerabilidades, o acordo pode ficar em perigo, segundo a Bloomberg.

A CEO da MedSec, Justine Bone, diz que sua empresa não entrou em contato com a St. Jude por não estar convencida de que a fabricante de dispositivos médicos poderia solucionar o problema. Em vez de ter o problema ignorado (e colocar vidas de pacientes em risco), a MedSec preferiu não apenas fazer a St. Jude passar vergonha, como também pagar por seus erros.

Em um post feito no blog da MedSec, Bone disse o seguinte:

Reconhecemos que nossa abordagem diferente das práticas tradicionais de cibersegurança vai atrair críticas, mas acreditamos que essa é a única forma de fazer a St. Jude Medical tomar ação. O mais importante é que acreditamos que pacientes tanto existentes quanto em potencial têm direito de saber seus riscos. Os consumidores precisam começar a exigir transparência dessas fabricantes de dispositivos, especialmente no que se aplica à qualidade e funcionalidade dos produtos.

Bone foi ainda mais explícita com a Bloomberg, dizendo que “até onde sabemos, a St. Jude Medical não fez absolutamente nada para atingir os mínimos padrões de cibersegurança, em comparação com outras fabricantes que observamos.” Em uma entrevista em vídeo, ela afirmou que vulnerabilidades de segurança relatadas para a St. Jude em 2013 ainda não foram corrigidas.

Ainda assim, a MedSec acabou ganhando uma bolada com a queda nas ações da St. Jude.

A MedSec também poderia ter ido até a CERT, a equipe de resposta de emergência computacional dos EUA, para garantir que as vulnerabilidades não fossem ignoradas, me disse a evangelista de segurança Jessy Irwin. Irwin disse que relatos à CERT poderiam ter resultado em alertas de segurança que não poderiam ser ignorados. O padrão industrial para divulgação pública (a quantidade de tempo entre quando uma empresa fica sabendo de uma vulnerabilidade e quando essa vulnerabilidade é relatada ao público) é de 90 dias, enquanto a CERT tem uma janela de 45 dias.

Irwin diz que se a MedSec fosse à CERT em primeiro lugar, a St. Jude teria apenas 45 dias antes das falhas serem divulgadas ao público, independentemente de terem ou não sido corrigidas.

“O que isso significa é que em vez de se aproximar de uma empresa de investimentos, eles precisariam seguir as mesmas diretrizes de divulgação de vulnerabilidades que se aplicam a outras empresas de segurança,” disse Irwin.

Dependendo de como isso funcionar para a MedSec, isso pode abrir precedente para a forma como empresas de tecnologia operam e divulgam vulnerabilidades. Por outro lado, isso também pode convencer empresas comprometidas a levarem essas falhas de segurança mais a sério, já que dinheiro está em jogo. E por outro lado, isso pode ser visto como uma forma de chantagear empresas usando suas falhas, em vez de ajudá-las a corrigir. E isso seria terrível.

Por sua parte, a St. Jude diz que tudo está bem! Phil Ebeling, CTO da empresa, disse à Bloomberg que as alegações de que a fabricante não se importa com segurança são “absolutamente inverdadeiras.” “Existem várias camadas de medidas de segurança em questão. Conduzimos análises de segurança com frequência e trabalhamos com especialistas externos especificamente no Merlin@home e em todos os nossos dispositivos,” disse Ebeling.