Abbott Selidiki Dua Insiden Siber di Tengah Klaim Pemerasan Data

Abbott Laboratories sedang menyelidiki dua insiden keamanan siber terpisah setelah mengonfirmasi adanya akses tidak sah ke sejumlah sistem legacy internal Exact Sciences pada unit Cancer Diagnostics. Di saat yang sama, perusahaan juga menelusuri klaim terpisah bahwa portal pelanggan LabCentral miliknya telah dibobol dan data perusahaan dicuri.
Insiden pada Cancer Diagnostics dikonfirmasi setelah kelompok pemerasan data ShinyHunters memasukkan Abbott ke situs kebocoran datanya. Kelompok tersebut awalnya mengancam akan mempublikasikan data yang diklaim telah dicuri setelah 18 Juli 2026 jika perusahaan tidak bernegosiasi, sebelum kemudian memperpanjang tenggat hingga 21 Juli 2026.
Abbott menyatakan insiden tersebut hanya terkait dengan akses tidak sah ke sejumlah kecil sistem internal pada bisnis Cancer Diagnostics. Perusahaan menegaskan tidak ada dampak terhadap operasional bisnis, produk atau ketersediaan produk, manufaktur, operasi laboratorium, maupun kemampuan perusahaan dalam melayani pasien.
Sistem Legacy Exact Sciences Jadi Fokus Investigasi
Menurut Abbott, sistem legacy Exact Sciences yang terdampak terpisah dari sistem utama Abbott. Perusahaan juga menyebut insiden ini tidak memengaruhi unit bisnis atau sistem Abbott lainnya.
Setelah mengetahui insiden tersebut, Abbott mengaktifkan prosedur incident response, melibatkan pakar keamanan siber, dan memberi tahu aparat penegak hukum. Perusahaan juga menyatakan tidak memperkirakan insiden ini akan memberikan dampak material terhadap bisnis maupun hasil keuangannya.
ShinyHunters mengklaim memperoleh akses melalui serangan vishing yang menargetkan beberapa karyawan Abbott pada pertengahan Juni. Menurut klaim kelompok tersebut, serangan itu memungkinkan mereka mengompromikan akun Microsoft Entra single sign-on (SSO) dan mengakses sistem internal.
Dalam kampanye serupa, pelaku ancaman biasanya menargetkan akun SSO perusahaan seperti Microsoft Entra, Okta, atau Google. Setelah akun berhasil dikuasai, akses tersebut dapat digunakan untuk mengambil data dari aplikasi SaaS yang terhubung, termasuk platform kolaborasi, penyimpanan dokumen, sistem helpdesk, hingga aplikasi bisnis internal.
Klaim Data yang Dicuri Belum Terverifikasi
ShinyHunters mengklaim telah mengekstraksi data dari berbagai layanan, termasuk Microsoft Entra, ServiceNow, SharePoint, Databricks, dan Coupa. Data yang diklaim dicuri mencakup dokumen internal, kontrak, serta informasi pelanggan.
Kelompok tersebut juga mengklaim mencuri lebih dari 30 juta baris data personally identifiable information (PII) pelanggan dari beberapa dataset. Informasi yang disebutkan mencakup nama, alamat email, nomor telepon, alamat fisik, tanggal lahir, serta lebih dari satu juta nomor Social Security.
Selain itu, pelaku mengklaim memperoleh lebih dari 22 juta catatan klien yang berisi percakapan dokter-pasien, lebih dari 20 juta medical orders, serta perjanjian pelanggan dan NDA. Namun klaim terkait data yang dicuri tersebut belum terverifikasi secara independen.
Klaim Terpisah pada Portal LabCentral
Insiden kedua melibatkan aktor ancaman yang dikenal sebagai ShadowByt3$, yang mengklaim telah membobol bisnis Core Laboratory Diagnostics Abbott melalui portal pelanggan LabCentral. Pelaku menyebut akses diperoleh menggunakan kredensial pelanggan yang telah dikompromikan setelah menemukan titik lemah di lingkungan tersebut.
Menurut klaim pelaku, akses ke portal itu diperoleh pada 4 Juli 2026, lalu file diekstraksi secara bertahap dengan menargetkan endpoint API. Data yang diklaim dicuri mencakup sertifikat manufaktur CE, operation manuals, spesifikasi teknis, dokumentasi regulasi, arsip kebutuhan produk, calibrator value assignments, assay files, dan dokumen produk lain yang terkait dengan sistem diagnostik laboratorium Abbott.
ShadowByt3$ menyebut tidak ada data pelanggan yang dicuri, tetapi mengklaim memperoleh dokumen bisnis sensitif dan kekayaan intelektual. Abbott mengonfirmasi mengetahui adanya potensi insiden siber tersebut, namun membantah karakterisasi data yang diklaim dicuri oleh pelaku.
Menurut Abbott, LabCentral merupakan portal eksternal yang di-host oleh pihak ketiga dan digunakan oleh bisnis Core Laboratory Diagnostics. Portal tersebut disebut berisi dokumen referensi teknis produk yang tersedia untuk publik, termasuk manual operasi, checklist troubleshooting, dan spesifikasi produk, serta tidak memuat informasi pelanggan atau bisnis yang bersifat proprietary maupun sensitif.
Belum Ada Data yang Dipublikasikan
Hingga laporan ini dibuat, baik ShinyHunters maupun ShadowByt3$ belum mempublikasikan data yang mereka klaim telah dicuri dari Abbott. Kondisi ini membuat dampak aktual dari dua insiden tersebut masih perlu menunggu hasil investigasi lebih lanjut.
Kasus Abbott menegaskan bahwa serangan terhadap akun SSO, kredensial pelanggan, dan portal pihak ketiga tetap menjadi risiko besar bagi organisasi di sektor kesehatan dan medtech. Sistem yang dianggap terpisah atau bersifat pendukung tetap dapat menjadi pintu masuk penting bagi pelaku ancaman jika tidak dipantau dengan kontrol akses dan deteksi yang kuat.
Sumber: Abbott probes two cyber incidents amid extortion claims








