Medtronic, globalny gigant rynku urządzeń medycznych odpowiedzialny między innymi za rozruszniki serca, pompy insulinowe i sprzęt do neurochirurgii, oficjalnie potwierdził 24 kwietnia 2026 roku, że nieuprawniony podmiot uzyskał dostęp do części korporacyjnych systemów IT. Kilka dni wcześniej grupa cyberprzestępcza znana jako ShinyHunters opublikowała w darknecie ofertę sprzedaży wykradzionych danych — według ich relacji ponad dziewięciu milionów rekordów osobowych oraz wielu terabajtów wewnętrznych dokumentów firmy.
Co dokładnie wyciekło
ShinyHunters wpisali Medtronic na swoją witrynę 17 kwietnia, dając firmie czas na podjęcie negocjacji do 21 kwietnia. Po upływie tego terminu wpis został usunięty, co w branży zwykle interpretuje się jako sygnał trwających rozmów albo płatności okupu — żadnej z tych wersji firma nie potwierdziła. Sam Medtronic w komunikacie do amerykańskiej Komisji Papierów Wartościowych i Giełd zaznaczył, że nie zweryfikował jeszcze liczby dziewięciu milionów rekordów i wciąż prowadzi analizę zakresu incydentu.
Co istotne, atak dotknął wyłącznie korporacyjnej infrastruktury IT. Sieci, na których działa produkcja, dystrybucja oraz urządzenia podłączone u pacjentów i w szpitalach, są — zgodnie z oświadczeniem firmy — odseparowane i pozostały nienaruszone. To kluczowy fakt, bo Medtronic obsługuje urządzenia podtrzymujące życie i każda ingerencja w tej warstwie miałaby tragiczne konsekwencje.
Dlaczego ShinyHunters to nie nowicjusze
Grupa ShinyHunters ma za sobą długą listę głośnych włamań, w tym do Snowflake, AT&T i Ticketmaster. Jej modus operandi opiera się zwykle na przejmowaniu kont w zewnętrznych usługach SaaS — szczególnie tam, gdzie brakuje obowiązkowego uwierzytelniania wieloskładnikowego — a następnie wyciąganiu zawartości baz produkcyjnych. Skala działań i powtarzalność scenariusza wskazują, że tego typu ataki opłaca się prowadzić nawet wtedy, gdy ofiara odmawia płacenia okupu, ponieważ same dane sprzedają się na rynku przestępczym.
W kontekście Medtronic szczególnie niepokojące jest to, że dane medyczne mają wartość rynkową wielokrotnie wyższą niż klasyczne dane finansowe. Numer karty można zablokować w jeden dzień, ale informacja o przebytej chorobie, terapii lub wszczepionym implancie zostaje z pacjentem do końca życia i bywa wykorzystywana do precyzyjnego phishingu, szantażu albo oszustw ubezpieczeniowych.
Co z tego wynika dla nas
Sprawa Medtronic dobrze ilustruje, dlaczego coraz częściej musimy patrzeć na bezpieczeństwo danych medycznych z perspektywy osobistej. Polskie szpitale, przychodnie i producenci sprzętu również bywają celem podobnych grup, a po wycieku wystarczy kilka tygodni, by adres e-mail i dane diagnostyczne pojawiły się w spersonalizowanych kampaniach SMS-owych.
W praktyce warto traktować każdą informację o leczeniu, lekach i urządzeniach medycznych jak dane wrażliwe. Nie podawajcie ich w formularzach, których nie znacie, a w aplikacjach producentów sprzętu medycznego włączcie uwierzytelnianie dwuskładnikowe wszędzie, gdzie jest dostępne. Gdy dostaniecie wiadomość rzekomo od „działu obsługi pacjenta” z prośbą o potwierdzenie danych, zadzwońcie na oficjalną infolinię, a nie na numer z e-maila. Warto też okresowo sprawdzać, czy nasz adres pojawił się w bazach typu Have I Been Pwned — to najtańsza forma wczesnego ostrzegania.
Podsumowanie
Włamanie do Medtronic to kolejny przykład, że nawet największe firmy z branży medycznej nie są odporne na grupy wyspecjalizowane w polowaniu na dane SaaS-owe. Dla pacjentów najważniejsze jest, że urządzenia działają bez zmian, ale wyciek danych osobowych oznacza długoterminowe ryzyko phishingu i prób wyłudzeń. To dobry moment, by zweryfikować, gdzie zostawiamy informacje o swoim zdrowiu i jak je chronimy.