Нью-йоркський публічний медичний провайдер NYC Health + Hospitals (NYCHHC) повідомив про багатомісячний витік даних, унаслідок якого хакери змогли викрасти персональну інформацію, медичні записи та скани відбитків пальців щонайменше 1,8 млн людей.
NYCHHC є найбільшою системою громадської охорони здоров’я у США та надає медичні послуги понад мільйону мешканців Нью-Йорка, більшість із яких не мають страховки або отримують державні пільги на медичне обслуговування, зокрема Medicaid.
Про масштаб інциденту система охорони здоров’я повідомила Міністерство охорони здоров’я і соціальних служб США, що робить цей витік одним із найбільших у медичній сфері цього року. Останніми роками медзаклади регулярно стають мішенню фінансово мотивованих кіберзлочинців, які полюють на великі масиви надчутливої персональної, медичної та платіжної інформації пацієнтів.
У повідомленні про витік на своєму сайті NYCHHC зазначила, що виявила кібератаку 2 лютого і після цього захистила свою мережу. Хакери мали доступ до систем із листопада 2025 року до лютого 2026-го, протягом цього часу вони копіювали файли з мережі.
У системі охорони здоров’я заявили, що зловмисники змогли проникнути внаслідок компрометації стороннього постачальника послуг, назву якого не розголошують.
За даними NYCHHC, обсяг викраденої інформації відрізняється для різних людей, але може включати відомості про медичне страхування (номер і тип полісу), медичну інформацію (наприклад, діагнози, призначені ліки, результати аналізів та медичні зображення), а також дані про білінг, страхові вимоги та платежі. Також були скомпрометовані інші документи, що посвідчують особу, з державними ідентифікаторами, зокрема номери соціального страхування, дані паспортів та водійських посвідчень.
У повідомленні про витік також сказано, що було викрадено «точні дані геолокації». Це може свідчити про те, що завантажені користувачами фото їхніх документів містили метадані з точною адресою місця, де були зроблені ці знімки.
Особливо чутливим інцидент робить те, що хакери викрали біометричні дані, включно з відбитками пальців і долонь. Ці характеристики людина має впродовж усього життя й не може «замінити» у разі компрометації. NYCHHC не пояснила, з якою метою зберігала такі біометричні дані. Потенційні працівники NYCHHC зазвичай повинні проходити процедуру зняття відбитків пальців для перевірки за кримінальними реєстрами. Наразі невідомо, чи були викрадені біометричні дані пацієнтів.
Сайт NYCHHC у понеділок вранці на певний час перестав працювати. Представник пресслужби не відповів одразу на електронний запит TechCrunch із запитаннями про атаку. Зокрема, видання цікавило, чому організації знадобилися місяці, щоб виявити витік, а також чи отримувала вона якісь повідомлення від хакерів, наприклад, вимогу викупу.
Невідомо, чи могла NYCHHC отримувати електронну пошту під час збою роботи сайту.
Інцидент, схоже, не пов’язаний із попереднім витоком у National Association on Drug Abuse Problems (NADAP) на початку цього року, коли внаслідок кібератаки були викрадені дані понад 5 000 пацієнтів NYCHHC.