AIO APEX
Security

Medtronic confirma invasão após alegação da ShinyHunters

SecurityWeek
Compartilhar:
Medtronic confirma invasão após alegação da ShinyHunters

A Medtronic confirmou acesso não autorizado a partes de seu ambiente de corporate IT depois que o grupo ShinyHunters afirmou ter roubado milhões de registros. Em 28 de abril, a empresa disse que não identificou impacto em produtos, segurança do paciente, fabricação, distribuição ou sistemas conectados a clientes, mas segue investigando se informações pessoais foram acessadas.

Essa distinção importa muito. A Medtronic não é uma empresa de software comum. Ela está profundamente inserida na infraestrutura de saúde, com produtos que vão de marcapassos a sistemas para diabetes e ferramentas cirúrgicas. Quando uma companhia desse porte confirma um breach, a questão não é apenas quais dados podem ter sido expostos, mas também se a separação de redes foi suficiente para evitar impacto clínico ou operacional.

Segundo a SecurityWeek, a ShinyHunters havia listado a Medtronic em seu leak site no início do mês e alegado possuir mais de 9 milhões de registros e terabytes de dados corporativos. A Medtronic não confirmou esse número, mas afirmou que está tentando identificar quais informações pessoais, se houver, podem ter sido acessadas. A empresa também ressaltou que as redes de corporate IT, produtos e operações de fabricação são separadas, e que as redes hospitalares dos clientes são administradas de forma independente.

Essa network segmentation é o detalhe técnico mais importante da história. Em um incidente de saúde, comprometer sistemas de back-office não é a mesma coisa que afetar ambientes de produto ou operações clínicas. A Medtronic está basicamente dizendo que o incidente parece restrito aos sistemas corporativos. Sua subsidiária MiniMed também informou à SEC que seus próprios sistemas de IT não foram afetados.

A importância mais ampla é que os atacantes continuam mirando empresas cujo valor vai muito além da revenda de dados pessoais. Grupos de healthcare e medical-device combinam sensibilidade regulatória, peso operacional e risco reputacional, o que os torna alvos atraentes para extorsão. Por enquanto, o comunicado da Medtronic sugere que o pior cenário foi evitado, mas o caso continua aberto com questões relevantes sobre exposição de dados e transparência na resposta.

cybersecuritydata-breachshinyhuntersmedtronichealthcare-securitymedical-devices

Originally reported by SecurityWeek. Read the original article for additional details.

View original source
Compartilhar: