Een beveiligingsonderzoeker van Rapid7 die zelf diabetes heeft, kreeg de pomp en deed meteen wat onderzoek naar het apparaatje. Hij ontdekte dat commando's slecht beveiligd worden verstuurd en niet dynamisch zijn: een eenmaal opgevangen opdracht kan dus ook op een later tijdstip worden verstuurd naar de pomp. Producent Johnson & Johnson erkent de kwetsbaarheden.

Niet internetverbonden

Er zijn in totaal vijf pakketjes die aanvallers kunnen opvangen en naar eigen wens in kunnen zetten. De 'sleutel' die de apparatuur gebruikt wordt open en bloot verzonden en een aanvaller kan deze zelf weer gebruiken. In een brief naar gebruikers meldt de fabrikant dat het risico voor misbruik zeer laag is. De aanval kan bijvoorbeeld niet via internet worden uitgevoerd om op schaal de apparaten te beïnvloeden.

Maar dat geldt niet voor een gerichte aanval op een specifieke gebruiker. Het bedrijf stelt dat als gebruikers misbruik vrezen ze de verbinding uit kunnen schakelen. Diabetici moeten de pomp dan handmatig bedienen en zelf metingen verrichten om hem in te stellen. Ook kan de pomp een vibrerend alarm geven als er een dosis wordt afgegeven, zodat patiënten hem nog kunnen annuleren.