Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Falta de cifrado de datos sensibles en productos CareLink y Encore de Medtronic

Fecha de publicación 14/12/2018
Importancia
3 - Media
Recursos Afectados
  • CareLink 9790 Programmer, todas las versiones.
  • CareLink 2090 Programmer, todas las versiones.
  • 29901 Encore Programmer, todas las versiones.
Descripción

Los investigadores Billy Rios y Jonathan Butts de Whitescope LLC han identificado una vulnerabilidad de falta de cifrado de datos sensibles que pueden contener información médica protegida o información personal identificable, esto podría permitir a un atacante con acceso físico al dispositivo consultar esta información.

Solución
  • El dispositivo CareLink 9790 Programmer está obsoleto, Medtronic recomienda que ya no se utilice más. Además, la compañía recomienda para CareLink 2090 Programmer y 29901 Encore Programmer que se mantenga la información médica y personal almacenada en estos dispositivos el menor tiempo posible. También ha publicado un boletín de seguridad relacionado con este aviso.
Detalle
  • Un atacante remoto podría aprovecharse de la falta de cifrado en datos sensibles para conseguir información médica y personal de los usuarios almacenados en los distintos dispositivos. Se ha reservado el identificador CVE-2018-18984 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Medical Advisory (ICSMA-18-347-01) Medtronic 9790, 2090 CareLink, and 29901 Encore Programmers
Etiquetas