NYC Health + Hospitals sagt, dass eine Datenpanne medizinische Unterlagen und biometrische Daten von 1,8 Millionen Menschen offengelegt hat
Hacker hatten monatelang Zugriff auf sensible Daten
NYC Health + Hospitals zufolge hat ein monatelanger Cyberangriff persönliche Daten, medizinische Unterlagen und biometrische Informationen von mindestens 1,8 Millionen Menschen offengelegt und zählt damit zu den größten gemeldeten Sicherheitsverletzungen im Gesundheitswesen in diesem Jahr.
Das öffentliche Gesundheitssystem, das größte in den Vereinigten Staaten, erklärte, den Angriff am 2. Februar entdeckt und sein Netzwerk gesichert zu haben. Laut seiner Benachrichtigung über die Datenpanne waren die Hacker jedoch bereits seit November 2025 im System und konnten Dateien kopieren, bevor sie entfernt wurden.
NYC Health + Hospitals meldete den Vorfall an das U.S. Department of Health and Human Services. Das System betreut mehr als eine Million New Yorker, die meisten davon sind nicht versichert oder sind auf staatliche Gesundheitsleistungen wie Medicaid angewiesen.
Fingerabdrücke, Handflächenabdrücke und Ausweisdokumente entwendet
Die offengelegten Informationen variieren je nach Person, aber die Organisation erklärte, dass sie Angaben zu Krankenversicherungsplänen und -policen, medizinische Unterlagen wie Diagnosen, Medikamente, Tests und Bildgebung sowie Abrechnungs-, Leistungs- und Zahlungsdaten umfassen. Ebenfalls kompromittiert wurden staatlich ausgestellte Ausweisdokumente, darunter Sozialversicherungsnummern, Reisepässe und Führerscheine.
Die Benachrichtigung über die Datenpanne erwähnt auch „präzise Standortdaten“, was die Möglichkeit aufwirft, dass hochgeladene Fotos von Ausweisdokumenten Standort-Metadaten enthalten haben könnten.
Das sensibelste Element des Vorfalls ist der Diebstahl biometrischer Daten, einschließlich Fingerabdrücken und Handflächenabdrücken. Diese Identifikatoren können bei Missbrauch nicht einfach geändert werden. NYC Health + Hospitals erklärte nicht, warum biometrische Informationen gespeichert wurden, obwohl potenzielle Mitarbeiter in der Regel verpflichtet sind, Fingerabdrücke für Strafregisterprüfungen zu hinterlegen. Es bleibt unklar, ob auch die biometrischen Daten von Patienten entwendet wurden.
Schuld wird einem Drittanbieter zugeschoben
Schützen Sie Ihre Privatsphäre mit Doppler VPN
3 Tage kostenlos testen. Ohne Registrierung. Ohne Protokolle.
Das Gesundheitssystem erklärte, die Hacker hätten über eine Sicherheitsverletzung bei einem namentlich nicht genannten Drittanbieter Zugang erhalten. Die Website des Anbieters war am Montagmorgen kurzzeitig offline, und ein Sprecher reagierte nicht sofort auf Fragen zum Angriff, unter anderem dazu, warum es Monate dauerte, den Vorfall zu entdecken, und ob die Organisation Lösegeldforderungen erhalten habe.
Gesundheitsdienstleister wurden in den letzten Jahren wiederholt von finanziell motivierten Cyberkriminellen ins Visier genommen, aufgrund der Menge sensibler persönlicher, medizinischer und Abrechnungsdaten, die sie verwalten. Die Datenpanne von NYC Health + Hospitals zählt nun zu den schwerwiegendsten Fällen des Jahres.
Quellen: