मेडट्रॉनिक का हार्ट डिवाइस डेटा प्रबंधन सिस्टम हैकिंग के प्रति संवेदनशील

अमेरिकी चिकित्सा उपकरण कंपनी मेडट्रॉनिक ने कहा कि उसने अपने हृदय उपकरण डेटा प्रबंधन प्रणाली में एक भेद्यता की पहचान की है, जिसका फायदा उठाने पर डेटा को हटाया जा सकता है, चोरी किया जा सकता है या संशोधित किया जा सकता है।

मेडट्रॉनिक का पेसर्ट ऑप्टिमा एक सॉफ्टवेयर एप्लिकेशन है जो हेल्थकेयर डिलीवरी संगठन के विंडोज सर्वर पर चलता है। एप्लिकेशन मानक वर्कफ़्लो में सहायता के लिए सभी प्रमुख कार्डियक डिवाइस निर्माताओं से प्रोग्रामर और रिमोट मॉनिटरिंग सिस्टम से कार्डियक डिवाइस डेटा एकत्र, संग्रहीत और पुनर्प्राप्त करता है।

कंपनी ने कहा कि नियमित निगरानी के दौरान उसने एप्लिकेशन के वैकल्पिक मैसेजिंग फीचर में एक भेद्यता की पहचान की, जो "डिफ़ॉल्ट रूप से कॉन्फ़िगर नहीं है, और सक्षम होने तक इसका फायदा नहीं उठाया जा सकता", कंपनी ने एक सुरक्षा बुलेटिन में कहा।

यदि किसी स्वास्थ्य सेवा वितरण संगठन ने वैकल्पिक सेवा को सक्षम किया है, तो "एक अनधिकृत उपयोगकर्ता पेसर्ट ऑप्टिमा सिस्टम को विशेष रूप से तैयार किए गए संदेश भेजकर रिमोट कोड निष्पादन (आरसीई) और/या सेवा से इनकार (डीओएस) हमलों को अंजाम देने के लिए इस भेद्यता का फायदा उठा सकता है।" कंपनी ने कहा.

जबकि आरसीई के परिणामस्वरूप पेसर्ट ऑप्टिमा सिस्टम का कार्डियक डिवाइस डेटा हटा दिया जा सकता है, चोरी हो सकता है, या संशोधित किया जा सकता है, या आगे नेटवर्क प्रवेश के लिए पेसर्ट ऑप्टिमा सिस्टम का उपयोग किया जा सकता है, एक डीओएस हमले के कारण पेसर्ट ऑप्टिमा सिस्टम धीमा या अनुत्तरदायी हो सकता है।

इसके अलावा, भेद्यता विशेष रूप से पेसआर्ट मैसेजिंग सेवा के माइक्रोसॉफ्ट संदेश कतार प्रोटोकॉल के कार्यान्वयन में देखी गई थी।

मैसेजिंग सेवा हेल्थकेयर डिलीवरी संगठनों को पेसर्ट ऑप्टिमा सिस्टम के भीतर फैक्स, ईमेल और पेजर संदेश भेजने में सक्षम बनाती है।

मेडट्रॉनिक ने कहा कि उसने अब तक "किसी भी साइबर हमले, रोगी डेटा तक अनधिकृत पहुंच या हानि, या इस मुद्दे से संबंधित रोगियों को नुकसान नहीं देखा है"। लेकिन ऐसी संभावना को खत्म करने के लिए कंपनियां डेटा मैनेजमेंट सिस्टम का नया अपडेट इंस्टॉल कर सकती हैं।

भेद्यता पेसर्ट ऑप्टिमा सिस्टम संस्करण 1.11 और इससे पहले के संस्करणों में मौजूद है।

इस प्रकार कंपनी ने सिस्टम के 1.11 और उससे पहले के संस्करण का उपयोग करने वाले सभी स्वास्थ्य सेवा प्रदाताओं से समस्या को कम करने वाले संस्करण 1.12 सॉफ़्टवेयर के अपडेट को शेड्यूल करने के लिए कंपनी से संपर्क करने के लिए कहा।

इस बीच, मेडट्रॉनिक ने इस भेद्यता के शोषण को रोकने के लिए तत्काल, अस्थायी कदम भी प्रदान किए जैसे कि मैसेजिंग सेवा और संदेश कतार सुविधा को कैसे अक्षम किया जाए।

हालाँकि, इसमें कहा गया है, उन कदमों को उठाए जाने के बाद भी, "संवेदनशील कोड अभी भी एप्लिकेशन में मौजूद रहेगा, लेकिन अब शोषण योग्य नहीं होगा।"

कंपनी ने कहा, "एप्लिकेशन सर्वर पर पूर्ण शमन के लिए, Paceart ऑप्टिमा सिस्टम को संस्करण 1.12 में अपडेट करें। यह अपडेट Paceart मैसेजिंग सर्विस फ़ंक्शन को हटा देता है और एप्लिकेशन सर्वर पर भेद्यता को पूरी तरह से ठीक करता है।"