Nhưng đôi khi nhà nghiên cứu có thể kiếm được nhiều tiền hơn bằng cách bán thông tin cho đối thủ cạnh tranh hay giới tin tặc (thậm chí là các cơ quan an ninh như NSA). Để tối đa hóa thu nhập mà không sợ bị truy tố, các nhà nghiên cứu thường nhờ đến những tổ chức trung gian môi giới. Những người trả nhiều tiền nhất thường là các công ty phần mềm diệt virus, NSA và các chính phủ trên thế giới.

Với những sản phẩm thông dụng, người bán có ưu thế hơn. Ví dụ như FBI đã trả hàng triệu đô la chỉ để truy cập thông tin trong một chiếc iPhone. Nhưng khi phát hiện lỗ hổng của một sản phẩm rất ít người dùng, nhà nghiên cứu có thể bán thông tin cho ai?

MedSec là một công ty bảo mật đã gặp chính vấn đề đó. Sau một năm xem xét các thiết bị khác nhau, họ nghĩ rằng đã phát hiện ra một lỗi bảo mật trong thiết bị cho bệnh nhân mắc bệnh tim của St. Jude Medical. Nhưng số người dùng quá nhỏ khiến lỗ hổng không có giá trị đối với tin tặc, NSA hay các chính phủ Nga/Trung Quốc. Công ty sản xuất thiết bị y tế kia là nơi duy nhất muốn mua thông tin và người bán không có cớ gì để “hét giá”. Và để tăng giá trong điều kiện không có người mua nào cạnh tranh, MedSec đã mang kết quả nghiên cứu của mình tới một công ty đầu tư – nghiên cứu, có tên là Muddy Waters.

Ngày 25/8/2016, Muddy Waters công bố một báo cáo dài 33 trang để giải thích về giá trị của phát hiện. Họ cho rằng giá trị của lỗ hổng bảo mật có thể đo bằng tác động của nó tới giá cổ phiếu của St. Jude Medical. Báo cáo bắt đầu bằng cách tuyên bố họ đã bán khống cổ phiếu của St. Jude Medical, một cách đánh cược rằng cổ phiếu này sẽ xuống giá. Sau đó họ cảnh báo rằng những tấn công từ xa có thể làm hỏng thiết bị của St. Jude hay làm cạn kiệt pin của chúng.

Phần lớn báo cáo phân tích về việc St. Jude sẽ phải chi bao nhiêu tiền để thu hồi sản phẩm và bồi thường cho các vụ kiện, do đó khiến cho cổ phiếu sụt giá. Báo cáo nêu rất mơ hồ về các chi tiết kỹ thuật của lỗ hổng bảo mật vì nó được viết để nhằm mục đích bán hàng là chính. Số tiền mà MedSec hy vọng nhận được gắn liền với lợi nhuận của vụ bán khống cổ phiếu của Muddy Waters. Chỉ sau ít ngày, cổ phiếu của St. Jude đã giảm giá 5,6% so với thời điểm trước khi Muddy Waters công bố báo cáo.

St. Jude Medical đã bác bỏ cáo buộc về lỗi bảo mật và gửi đơn kiện Muddy Waters cùng MedSec. Đơn kiện giải thích rằng “sự cố ngưng hoạt động” mà Muddy Waters mô tả thực ra là một biện pháp ngăn ngừa có chủ đích nhằm phòng tránh những trường hợp nằm ngoài dự kiến. Và cuộc tấn công làm cạn pin của thiết bị chỉ có thể thực hiện nếu truyền tín hiệu liên tục hàng trăm giờ từ khoảng cách rất gần với nạn nhân.

Lẽ nào tin tặc nấp ngoài bệnh viện cùng với những thiết bị phát sóng công suất lớn, chờ đợi chỉ để thực hiện tấn công quy mô lớn vào một số bệnh nhân? Tất nhiên, giải thích của St. Jude không hoàn toàn chính xác.

Công ty St. Jude đang lâm vào thế khó xử. Nếu họ cập nhật bản vá cho sản phẩm thì có nghĩa là họ thừa nhận lỗ hổng bảo mật là có thật. Nhưng nếu bỏ qua, họ có thể sa vào vụ kiện lớn nếu có một khách hàng bị tổn thương vì một thứ liên quan đến những thông tin trong báo cáo của Muddy Waters. Vá lỗi là điều nên làm, nhất là khi đã có người thông báo rộng rãi về khả năng xảy ra các cuộc tấn công.

Bản chất của an ninh mạng là mức rủi ro không thể lượng hóa, chúng ta không có số liệu thống kê và những kiểu tấn công mới lại xuất hiện liên tục. Trong phần lớn các vụ việc, các nhà cung cấp thường yên lặng công bố các bản vá bảo mật và chúng không ảnh hưởng tới giá cổ phiếu của họ.

St. Jude cho biết là từ năm 2013 họ đã đưa ra 7 bản vá an ninh khác nhau cho một trong các thiết bị được nêu, những người đang bị ảnh hưởng lớn nhất chính là các cổ đông.