Novo Nordisk reporta ataque cibernético e roubo de dados de ensaios clínicos

15 de junho de 2026

Aprofundamento CEVIU

Aprofundamento

A Novo Nordisk foi atacada entre 11 e 15 de junho de 2026, período crítico, logo antes da aprovação do primeiro comprimido diário de semaglutida no Reino Unido. O invasor acessou dados de ensaios clínicos pseudonimizados, mas o risco real está nos dados dos profissionais de saúde (HCPs), que foram expostos em forma identificável: nomes, números de registro, e-mails, WhatsApp e até endereços de consultórios. Isso não é só um vazamento de dados, é um kit completo para ataques de engenharia social direcionados.

O ataque explora uma falha comum em farmacêuticas: a separação técnica entre dados clínicos (protegidos por pseudonimização) e dados operacionais de HCPs (geralmente mal segmentados e com menos controles). A empresa já desligou sistemas internos, mas não revelou qual camada de rede foi comprometida, se foi um ambiente de pesquisa clínica, um portal de colaboradores ou um sistema de gestão de parceiros. Sem isso, o grau real de exposição permanece opaco.

Por que isso importa

Ensaios clínicos são alvos estratégicos: dados biométricos e de estilo de vida têm valor para chantagem, seguros privados e até vigilância estatal. Mas o maior dano aqui é operacional, phishing direcionado a médicos pode levar a falsos pedidos de prescrição, redirecionamento de receitas ou até infecção de sistemas hospitalares via e-mail corporativo. A Novo Nordisk não sofreu impacto na produção, mas o dano à confiança de pesquisadores e centros de estudo pode atrasar recrutamento de novos ensaios por meses.

Perguntas frequentes

O que significa 'dados pseudonimizados' nesse caso?

Significa que os dados dos participantes dos ensaios não tinham nomes, CPFs ou outros identificadores diretos. Mas continham IDs únicos, ano de nascimento, sexo, biomarcadores e hábitos como tabagismo e IMC. Se combinados com outras fontes públicas (como cadastros de saúde ou redes sociais), esses dados podem ser reidentificados, especialmente em populações pequenas ou com perfis raros.

Por que os dados dos profissionais de saúde são mais perigosos do que os dos pacientes?

Porque estão completos: nomes, números de registro, e-mails, WhatsApp e endereços de escritório. Isso permite ataques altamente personalizados, como mensagens falsas de colegas pedindo atualizações de protocolos ou links para 'novos manuais de estudo'. Médicos são alvos frequentes de ransomware e espionagem em cadeias de suprimento farmacêuticas.

A Novo Nordisk precisa notificar autoridades? E quais?

Sim. Sob o Regulamento Geral de Proteção de Dados (GDPR), ela tem 72 horas para notificar a Autoridade Dinamarquesa de Proteção de Dados (Datatilsynet) e, se houver risco alto para direitos dos afetados, também os indivíduos. Como os dados de HCPs incluem informações pessoais identificáveis, a notificação é obrigatória, e já deveria ter ocorrido, pois o incidente foi identificado em 11 de junho.

Esse ataque afeta a segurança dos medicamentos Ozempic ou Wegovy?

Não diretamente. A Novo Nordisk confirmou que fabricação, controle de qualidade e cadeia de suprimentos não foram comprometidos. Mas a integridade dos dados de ensaios clínicos usados para aprovações regulatórias pode ser questionada, sobretudo se houver indícios de manipulação ou acesso não autorizado a resultados brutos.

Fontes

theregister.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 15 de junho de 2026
Editoria: CEVIU Segurança da Informação