NYC Santé + Hôpitaux indique qu'une violation a exposé des dossiers médicaux et des données biométriques de 1,8 million de personnes
Des pirates ont accédé à des mois de données sensibles
NYC Santé + Hôpitaux indique qu'une cyberattaque ayant duré plusieurs mois a exposé des données personnelles, des dossiers médicaux et des informations biométriques appartenant à au moins 1,8 million de personnes, ce qui en fait l'une des plus importantes violations dans le secteur de la santé signalées cette année.
Le système de santé publique, le plus grand des États-Unis, a déclaré avoir détecté l'attaque le 2 février et avoir sécurisé son réseau. Mais selon son avis de violation, les pirates étaient déjà dans le système depuis novembre 2025 et ont pu copier des fichiers avant d'être expulsés.
NYC Santé + Hôpitaux a signalé l'incident au Department of Health and Human Services américain. Le système dessert plus d'un million de New‑Yorkais, dont la plupart ne sont pas assurés ou dépendent d'une couverture de santé publique telle que Medicaid.
Empreintes digitales, empreintes palmaires et documents d'identité pris
Les informations exposées varient selon les personnes, mais l'organisation a indiqué qu'elles comprennent des informations sur les plans et polices d'assurance maladie, des dossiers médicaux tels que diagnostics, médicaments, analyses et images, ainsi que des données de facturation, de réclamation et de paiement. Des documents d'identité délivrés par le gouvernement, y compris les numéros de sécurité sociale, les passeports et les permis de conduire, ont également été compromis.
L'avis de violation mentionne également des « données de géolocalisation précises », ce qui laisse entendre que des photos de documents d'identité téléchargées pouvaient inclure des métadonnées de localisation.
L'élément le plus sensible de l'incident est le vol de données biométriques, notamment des empreintes digitales et des empreintes palmaires. Ces identifiants ne peuvent pas être changés s'ils sont détournés. NYC Santé + Hôpitaux n'a pas expliqué pourquoi il stockait des informations biométriques, bien que les candidats à l'emploi soient généralement tenus d'enregistrer leurs empreintes digitales pour les vérifications des casiers judiciaires. Il reste incertain si les données biométriques des patients ont également été prises.
Violation attribuée à un fournisseur tiers
Protégez votre vie privée avec Doppler VPN
3 jours d'essai gratuit. Sans inscription. Sans journaux.
Le système de santé a déclaré que les pirates ont accédé via une violation chez un fournisseur tiers non nommé. Son site web a été brièvement hors ligne lundi matin, et un porte-parole n'a pas immédiatement répondu aux questions sur l'attaque, notamment sur les raisons pour lesquelles elle a mis des mois à être détectée et si l'organisation avait reçu des demandes de rançon.
Les établissements de santé ont été ciblés à plusieurs reprises ces dernières années par des cybercriminels motivés par le profit en raison du volume de données personnelles, médicales et de facturation sensibles qu'ils détiennent. La violation de NYC Santé + Hôpitaux fait désormais partie des exemples les plus graves de l'année.
Sources :