Un leak di dati legato a un farmaco anti-obesità ha rivelato informazioni critiche prima dell’approvazione FDA. E' stato vendute online per poche centinaia di dollari dai criminali a causa di una falla, causata da un errore nella configurazione dei certificati di sicurezza tra partner. La cybersecurity farmaceutica sta diventando sempre di più una questione di salute pubblica, con rischi diretti a pazienti e mercati finanziari.
Mentre i colossi del farmaco come Eli Lilly attendevano un via libera formale dalle autorità regolatorie per un nuovo farmaco contro l’obesità, il mercato sotterraneo era già operativo da mesi. Non si è trattato di un furto di documenti fisici o di un’irruzione vecchio stile, ma di una fuga di dati originata da un bug di sicurezza informatica banale, ma dalle conseguenze devastanti.
Nel mondo del farmaco, il segreto industriale è il bene più prezioso. Ad esempio il nome commerciale di un farmaco, il suo prezzo di lancio e la data di quando viene concessa l’approvazione FDA (negli Stati Uniti D’America), sono informazioni che valgono miliardi di dollari sui mercati finanziari.
Eppure, in questo caso, queste informazioni erano conosciute nei circuiti underground e su canali Telegram criptati per appena 200 dollari, molto prima che il pubblico (o gli investitori) ne sapessero nulla.
Advertising
Anatomia di una falla silenziosa
L’inchiesta rivela che la falla non è nata da un banale attacco di “brute force” o da un malware sofisticato inviato ai server dell’azienda. Al contrario, la perdita dei dati è avvenuta in una routine di sicurezza IT considerata standard: la configurazione dei certificati di sicurezza per i portali di terze parti, i quali erano coinvolti nella catena di approvvigionamento dell’azienda. In questa “zona grigia” tra l’azienda e i suoi partner, i dati sensibili sono stati esposti a causa di banali metadati non protetti.
Questo bug di sicurezza dimostra un concetto semplice, ovvero che la sicurezza di un’azienda farmaceutica non finisce più nel perimetro dei propri uffici. Si estende ad ogni singolo bit di informazione che viene condiviso tra consulenti, partner e enti regolatori.
I criminali informatici, si insinuano in queste fessure e non cercano più di abbattere le “mura” del castello, ma intercettano i dati che viaggiano tra un’organizzazione e l’altra dove molto spesso c’è roba interessante da acquisire.
Dal leak al rischio sanitario
Le conseguenze di questa esposizione, hanno superato i confini del danno economico. Infatti, i venditori all’interno del mercato nero, non si sono limitati a vendere le informazioni sottratte. Le hanno utilizzate per offrire versioni contraffatte o “generiche precoci” del farmaco.
Hanno quindi sfruttato l’enorme richiesta globale per questo tipo di farmaco e l’autorità dei documenti trapelati, creando una rete di “distribuzione illegale” estremamente credibile per i non addetti ai lavori.
Advertising
Il rischio sanitario è stato senza precedenti, i pazienti disperati hanno acquistato sostanze non verificate create dai criminali informatici basandosi su un leak di dati che confermavano l’efficacia del farmaco originale.
La cybersecurity è quindi diventata, a tutti gli effetti, una questione di salute pubblica.
La fine della “Security by Obscurity”
Questo incidente purtroppo segna un altro punto di svolta. Se una volta gli obiettivi erano lo spionaggio industriale, rubare la formula chimica (la “ricetta”) di un farmaco, oggi l’obiettivo sono i “metadati del business”.
L’analisi è stata resa possibile grazie ai dati di WhoisXML API, mentre la ricerca è stata guidata da Alexandre François, DNS Threat Researcher e Product Marketing Director presso l’organizzazione.
Sapere in anticipo come un nuovo farmaco venga immesso sul mercato, permette ai malintenzionati di orchestrare delle campagne di phishing mirate, successive truffe e la creazione di reti di distribuzione illegale prima che il prodotto legale tocchi gli scaffali.
La lezione per i Chief Information Security Officers (CISO) risulta molto chiara. La protezione deve essere incentrata sul dato, ovunque questo risieda. Un certificato SSL configurato male o un database di test che viene lasciato senza controllo online, fa molti più danni di un incendio in un laboratorio di ricerca.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.
Aree di competenza:Cyber threat Intelligence, Incident Response, sicurezza nazionale, divulgazione
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.