Potrivit notificării oficiale publicate pe site-ul instituției, atacatorii au avut acces la rețeaua NYCHHC începând din noiembrie 2025 și până în februarie 2026. Sistemul a fost compromis printr-o breșă la un furnizor terț, a cărui identitate nu a fost dezvăluită. Abia pe 2 februarie 2026, echipa de securitate a detectat intruziunea și a reușit să izoleze rețeaua, dar pagubele erau deja făcute: hackerii copiaseră fișiere cu informații extrem de sensibile.
Datele furate variază de la o persoană la alta, dar includ numere de asigurare medicală, diagnostice, medicamente prescrise, rezultate ale testelor, imagini medicale, informații de facturare și plăți. Mai grav, au fost compromise și documente oficiale emise de stat, precum numerele de securitate socială, pașapoartele și permisele de conducere. De asemenea, notificarea menționează că au fost furate „date precise de geolocație”, ceea ce sugerează că fotografiile încărcate de utilizatori cu actele de identitate conțineau coordonatele exacte ale locului unde au fost făcute.
Ceea ce face acest incident cu adevărat alarmant este furtul datelor biometrice – amprente digitale și amprente palmare. Spre deosebire de parole sau numere de card, aceste informații nu pot fi schimbate. O amprentă furată rămâne compromisă pentru tot restul vieții persoanei. NYCHHC nu a oferit încă o explicație clară privind motivul pentru care stoca astfel de date biometrice. În mod obișnuit, viitorii angajați ai sistemului de sănătate sunt obligați să își înregistreze amprentele pentru verificări ale cazierului, dar nu se știe dacă și pacienții aveau astfel de date stocate.
Site-ul NYCHHC a fost offline temporar luni dimineața, iar un purtător de cuvânt nu a răspuns imediat întrebărilor TechCrunch legate de atac, inclusiv de ce a durat atât de mult până la detectarea breșei și dacă hackerii au cerut vreo răscumpărare. La momentul redactării, nu este clar dacă instituția poate primi e-mailuri din cauza întreruperii serviciilor online.
Acest incident pare a fi independent de breșa anterioară de la National Association on Drug Abuse Problems (NADAP), care a afectat peste 5.000 de pacienți NYCHHC la începutul anului. În schimb, el se înscrie într-un tipar îngrijorător: organizațiile din domeniul sănătății sunt ținte frecvente ale infractorilor cibernetici motivați financiar. Conform celui mai recent raport anual al FBI privind criminalitatea cibernetică (2025), sectorul medical rămâne principala țintă a atacurilor de tip ransomware – în care hackerii fură date, criptează serverele și amenință cu publicarea informațiilor dacă nu primesc plata.
Un exemplu cutremurător este atacul asupra Change Healthcare, deținută de UnitedHealth, care a permis hackerilor legați de Rusia să fure datele medicale și de facturare a peste 190 de milioane de americani – considerat cel mai mare furt de date medicale din istoria SUA.
Pentru pacienții NYCHHC, consecințele pot fi devastatoare. Pe lângă riscul de furt de identitate și fraudă financiară, expunerea datelor medicale poate duce la discriminare, șantaj sau chiar periclitarea siguranței personale. Iar amprentele furate deschid ușa unor fraude biometrice greu de detectat și imposibil de remediat.
NYCHHC este cel mai mare sistem public de sănătate din SUA, oferind îngrijiri medicale pentru peste un milion de newyorkezi, majoritatea neasigurați sau beneficiari de Medicaid. Breșa de securitate lovește exact în populația cea mai vulnerabilă, care depinde de aceste servicii pentru supraviețuire.
De ce este important:
Acest incident subliniază vulnerabilitatea critică a sistemelor de sănătate publice în fața atacurilor cibernetice și riscurile pe termen lung ale stocării datelor biometrice fără măsuri de securitate adecvate. Furtul amprentelor digitale este ireversibil și poate compromite identitatea persoanelor pentru tot restul vieții. În plus, întârzierea de luni de zile în detectarea breșei arată deficiențe grave în monitorizarea securității cibernetice. Acest caz trebuie să fie un semnal de alarmă pentru toate instituțiile medicale să își revizuiască urgent protocoalele de protecție a datelor și să limiteze colectarea informațiilor biometrice la strictul necesar.
