🛡️ Executive Summary
- EY conferma l’accesso a ticket di supporto contenenti potenzialmente documenti fiscali, dati personali e informazioni finanziarie dei clienti.
- Abbott gestisce due incidenti distinti: un’intrusione SaaS attribuita a ShinyHunters e un accesso contestato al portale LabCentral.
- Un ransomware ha fermato temporaneamente la produzione fairlife negli Stati Uniti, senza conseguenze dichiarate sulla sicurezza dei prodotti.
Tre grandi gruppi internazionali hanno comunicato incidenti informatici capaci di colpire dati fiscali, applicazioni SaaS, portali clienti e sistemi produttivi. Ernst & Young ha individuato una violazione in una piattaforma esterna per la gestione dei ticket IT, dove potevano essere presenti documenti contenenti informazioni personali e finanziarie. Abbott Laboratories sta invece indagando su due intrusioni separate, una delle quali rivendicata da ShinyHunters dopo la compromissione di un account Microsoft Entra. Coca-Cola ha infine confermato che un ransomware ha interrotto temporaneamente le attività negli stabilimenti statunitensi di fairlife, mostrando come un accesso cyber possa trasformarsi rapidamente in un problema industriale e logistico.
Cosa leggere
EY espone potenzialmente dati fiscali attraverso un sistema di supporto
Ernst & Young ha rilevato il 23 aprile 2026 attività anomale riconducibili all’accesso non autorizzato a un sistema di ticketing di terze parti utilizzato dal personale IT. L’intrusione sarebbe rimasta attiva tra il 28 marzo e il 12 aprile, periodo nel quale gli aggressori hanno potuto consultare o acquisire ticket caricati sulla piattaforma. Il rischio deriva dalla natura dei contenuti allegati alle richieste di assistenza: dipendenti e operatori potevano includere documenti utilizzati per la preparazione delle dichiarazioni dei redditi, comunicazioni finanziarie e materiali contenenti informazioni identificative dei clienti. Un sistema di supporto viene spesso considerato meno critico di un database fiscale o di un’applicazione contabile, ma può diventare un archivio informale di screenshot, file di configurazione, credenziali temporanee e documentazione sensibile. EY ha notificato le persone coinvolte, informato le autorità federali e rafforzato le proprie misure di sicurezza, dichiarando di non avere evidenze di utilizzo improprio dei dati né di attacchi rivolti a soggetti specifici. Ai clienti interessati è stato offerto un servizio Experian di monitoraggio dell’identità e assistenza al ripristino per 24 mesi. L’incidente conferma che il rischio della supply chain non riguarda soltanto software e aggiornamenti, ma anche piattaforme operative alle quali i dipendenti affidano informazioni eccedenti rispetto alla funzione originaria.
Abbott collega l’attacco a Exact Sciences a vishing e compromissione Entra
Il primo incidente gestito da Abbott Laboratories riguarda sistemi legacy appartenenti a Exact Sciences, società attiva nella diagnostica oncologica e acquisita dal gruppo. Secondo la ricostruzione disponibile, gli aggressori avrebbero colpito dipendenti Abbott attraverso una campagna di vishing, convincendo almeno una vittima a fornire accesso o ad autorizzare una procedura che ha portato alla compromissione di un account Microsoft Entra Single Sign-On. Una volta ottenuta la sessione, l’attore avrebbe raggiunto applicazioni SaaS collegate, comprese ServiceNow, SharePoint, Databricks e Coupa, sottraendo dati senza dover distribuire malware tradizionale sugli endpoint.

ShinyHunters ha rivendicato l’operazione e minacciato la pubblicazione delle informazioni, prorogando la scadenza dell’estorsione al 21 luglio 2026. La dinamica coincide con il modello già osservato nelle campagne in cui il gruppo utilizza telefonate fraudolente, applicazioni OAuth e identità federate per raggiungere ambienti CRM e cloud, come ricostruito nell’analisi su ShinyHunters e gli attacchi a Salesforce mediante OAuth e finte chiamate IT. Abbott sostiene che l’incidente sia circoscritto alla diagnostica oncologica e non abbia compromesso produzione, laboratori o servizi ai pazienti, ma la presenza di più piattaforme coinvolte rende essenziale verificare token, autorizzazioni, regole di condivisione e persistenza negli account SaaS.
ServiceNow e le applicazioni collegate ampliano il raggio dell’intrusione
L’accesso a un’identità federata consente a un attaccante di spostarsi tra applicazioni senza affrontare ogni volta un nuovo processo di autenticazione. ServiceNow può contenere richieste di assistenza, asset, workflow e riferimenti agli utenti; SharePoint ospita documenti e aree collaborative; Databricks può elaborare dataset aziendali; Coupa gestisce acquisti, fornitori e processi finanziari. La compromissione di un singolo account SSO può quindi trasformarsi in una raccolta distribuita di dati, soprattutto quando le autorizzazioni sono state accumulate nel tempo e non rispettano il minimo privilegio. Matrice Digitale aveva già descritto le criticità legate alle API e agli accessi estesi nell’approfondimento sull’offensiva ShinyHunters contro Oracle PeopleSoft e ServiceNow. La risposta non può limitarsi al reset della password: Abbott deve revocare sessioni e token, verificare applicazioni OAuth registrate, controllare accessi da indirizzi o dispositivi insoliti e ricostruire quali dati siano stati realmente consultati. L’uso del vishing dimostra inoltre che l’autenticazione multifattore può fallire quando l’utente viene persuaso a completare personalmente il processo o ad approvare una richiesta apparentemente legittima.
ShadowByt3$ rivendica un accesso separato al portale LabCentral
Il secondo episodio riguarda LabCentral, portale clienti della divisione Core Laboratory Diagnostics. Il gruppo denominato ShadowByt3$ ha dichiarato di avere ottenuto accesso il 4 luglio mediante credenziali compromesse appartenenti a un cliente e di aver estratto informazioni lentamente attraverso endpoint API. Una tecnica a basso volume può evitare soglie e controlli pensati per rilevare download massivi, distribuendo la raccolta su più ore o giorni. Abbott ha confermato di essere a conoscenza della possibile intrusione, ma ha ridimensionato la sensibilità dei materiali, descrivendoli come manuali operativi, checklist di troubleshooting e documentazione tecnica pubblica o non riservata.

La divergenza tra rivendicazione criminale e valutazione aziendale richiede cautela: gli attori di estorsione tendono a enfatizzare il valore delle informazioni, mentre le società colpite possono descrivere inizialmente un perimetro limitato in attesa dell’analisi forense. Anche dati apparentemente ordinari possono aiutare a costruire email credibili, impersonare il supporto tecnico o comprendere procedure e apparecchiature utilizzate dai clienti. La verifica deve quindi includere log API, rate di interrogazione, identificativi dei documenti consultati e attività successive compiute con l’account compromesso.
Il ransomware fairlife interrompe la produzione negli Stati Uniti
Coca-Cola ha comunicato che la controllata fairlife ha subito un attacco ransomware che ha interessato alcuni sistemi, compresi quelli collegati alla produzione. L’azienda ha isolato le risorse coinvolte, attivato i piani di continuità e sospeso temporaneamente le attività negli stabilimenti statunitensi, mentre le operazioni canadesi sono proseguite normalmente. Coca-Cola afferma che qualità e sicurezza dei prodotti non siano state compromesse, distinzione essenziale negli ambienti alimentari dove i sistemi IT possono essere collegati a pianificazione, tracciabilità, magazzino e automazione industriale senza controllare direttamente ogni parametro del processo.

Nessun gruppo ha ancora rivendicato pubblicamente l’attacco e non è stato chiarito se vi sia stata esfiltrazione di dati prima della cifratura. L’incidente mostra però che il ransomware continua a generare danni anche senza compromettere fisicamente gli impianti: l’indisponibilità di sistemi ERP, schedulazione, etichettatura, qualità o logistica può rendere impossibile produrre e distribuire in condizioni controllate. Casi analoghi hanno già colpito aziende manifatturiere e farmaceutiche, come descritto nell’articolo sul breach di West Pharmaceutical e sugli attacchi contro grandi gruppi industriali.
I tre casi mostrano la convergenza tra identità, SaaS e continuità operativa
EY, Abbott e Coca-Cola sono state colpite attraverso superfici differenti, ma gli incidenti condividono una stessa debolezza strutturale: la fiducia concessa a sistemi esterni, account federati e applicazioni centrali per l’operatività. Nel caso EY, un provider di supporto ha ospitato documenti più sensibili di quanto il nome “ticketing” lasciasse immaginare. In Abbott, un’identità Entra compromessa ha aperto l’accesso a più servizi SaaS, mentre credenziali cliente rubate avrebbero consentito interrogazioni API su un secondo portale. In fairlife, la compromissione ha raggiunto sistemi abbastanza importanti da imporre l’arresto della produzione. Le contromisure devono quindi unire governance dei dati, identity security e resilienza industriale: limitare gli allegati nei ticket, classificare automaticamente i documenti, ridurre i privilegi SSO, applicare MFA resistente al phishing, controllare l’uso delle API e separare le reti di produzione dai servizi aziendali. La guida di Matrice Digitale sui gruppi ransomware e sulle tattiche di infiltrazione ed estorsione mostra come il danno moderno non dipenda più soltanto dalla cifratura, ma dalla capacità di combinare furto di identità, accesso cloud, esfiltrazione e interruzione operativa. Le grandi dimensioni delle aziende colpite non eliminano questo rischio: aumentano il numero di fornitori, portali e relazioni di fiducia che un attaccante può trasformare in un punto di ingresso.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.








