Den Vorfall in der Sparte Cancer Diagnostics machte Abbott öffentlich, nachdem ShinyHunters das Unternehmen auf seiner Datenleck-Seite gelistet hatte. Die Gruppe drohte zunächst, mutmaßlich gestohlene Daten nach dem 18. Juli zu veröffentlichen, falls Abbott nicht verhandle, und verschob die Frist später auf den 21. Juli. Auf eine Anfrage von BleepingComputer verwies Abbott auf eine Stellungnahme auf der eigenen Website.

Darin erklärte das Unternehmen, es untersuche einen Cybervorfall, bei dem es ausschließlich in der Sparte Cancer Diagnostics zu unbefugtem Zugriff auf eine begrenzte Zahl interner Systeme gekommen sei. Betroffen seien keine Geschäftsabläufe, keine Produkte oder deren Verfügbarkeit, keine Fertigung und keine Laborprozesse. Auch andere Geschäftsbereiche oder Systeme von Abbott seien nach Unternehmensangaben nicht beeinträchtigt. Die betroffenen Legacy-Systeme von Exact Sciences seien von den eigenen Abbott-Systemen getrennt.

Abbott teilte außerdem mit, nach Bekanntwerden des Vorfalls seine Reaktionsprozesse für Sicherheitsvorfälle aktiviert, Cybersicherheitsexperten hinzugezogen und Strafverfolgungsbehörden informiert zu haben. Das Unternehmen erwartet nach eigener Aussage keine wesentlichen Auswirkungen auf Geschäft oder Finanzergebnisse.

ShinyHunters erklärte gegenüber BleepingComputer, der Zugriff sei über einen Vishing-Angriff auf mehrere Abbott-Beschäftigte Mitte Juni erfolgt. Nach Darstellung der Gruppe führte dies zur Kompromittierung eines Microsoft-Entra-Kontos für Single Sign-on und damit zum Zugang zu internen Systemen. Seit dem vergangenen Jahr betreibt die Erpressergruppe laut BleepingComputer Social-Engineering-Kampagnen gegen Single-Sign-on-Konten von Microsoft Entra, Okta und Google. Nach erfolgreichem Zugriff auf ein Unternehmens-SSO-Konto entwenden die Angreifer demnach Daten aus angebundenen SaaS-Anwendungen wie Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk und Dropbox.

Zu den angeblich bei Abbott entwendeten Daten machte ShinyHunters weitreichende Angaben, die BleepingComputer nach eigener Aussage nicht unabhängig verifizieren konnte. Die Gruppe behauptete, Daten aus Microsoft Entra, ServiceNow, SharePoint, Databricks und Coupa exfiltriert zu haben, darunter interne Dokumente, Verträge und Kundeninformationen. Außerdem sei von mehr als 30 Millionen Datensätzen mit personenbezogenen Kundendaten die Rede, darunter Namen, E-Mail-Adressen, Telefonnummern, Anschriften, Geburtsdaten und mehr als eine Million Sozialversicherungsnummern. Hinzu kämen laut Gruppe mehr als 22 Millionen Kundennotizen mit Arzt-Patienten-Gesprächen, über 20 Millionen medizinische Aufträge sowie Kundenvereinbarungen und Geheimhaltungsvereinbarungen.

Der zweite Vorfall betrifft nach Angaben von BleepingComputer den Akteur ShadowByt3$, der behauptet, in die Sparte Core Laboratory Diagnostics über das Kundenportal LabCentral eingedrungen zu sein. Nach Darstellung des Akteurs erfolgte der Zugriff über kompromittierte Kundenzugangsdaten und einen von ihm als Schwachstelle beschriebenen Punkt in der Umgebung. Der Zugang sei am 4. Juli 2026 erfolgt; anschließend seien über API-Endpunkte schrittweise Dateien exfiltriert worden.

ShadowByt3$ behauptet, unter anderem CE-Fertigungszertifikate, Betriebshandbücher, technische Spezifikationen, regulatorische Unterlagen, Produktanforderungsarchive, Zuweisungen von Kalibratorwerten, Assay-Dateien und weitere Produktdokumentation zu Abbott-Systemen für die Labordiagnostik entwendet zu haben. Kundendaten seien nicht betroffen, wohl aber sensible Geschäftsdokumente und geistiges Eigentum. Als angeblichen Beleg übermittelte die Gruppe BleepingComputer Bildschirmfotos und ein Dateiverzeichnis.

Abbott bestätigte BleepingComputer, den möglichen Vorfall zu kennen, widersprach aber der Darstellung des Akteurs zur Sensibilität der Daten. Ein Unternehmenssprecher erklärte, LabCentral sei ein extern erreichbares, von einem Drittanbieter gehostetes Portal der Sparte Core Laboratory Diagnostics. Dort würden öffentlich verfügbare technische Produktreferenzdokumente wie Bedienungsanleitungen, Checklisten zur Fehlerbehebung und Produktspezifikationen gespeichert, jedoch keine proprietären oder sensiblen Kunden- oder Geschäftsinformationen. Weder ShinyHunters noch ShadowByt3$ haben bislang Daten öffentlich freigegeben, die sie nach eigener Darstellung von Abbott gestohlen haben.