NYC Health + Hospitals mengatakan pelanggaran mengekspos rekam medis dan data biometrik untuk 1,8 juta orang
Peretas mengakses data sensitif selama berbulan-bulan
NYC Health + Hospitals mengatakan serangan siber yang berlangsung berbulan-bulan mengekspos data pribadi, rekam medis, dan informasi biometrik milik setidaknya 1,8 juta orang, menjadikannya salah satu pelanggaran sektor kesehatan terbesar yang dilaporkan tahun ini.
Sistem kesehatan publik tersebut, yang terbesar di Amerika Serikat, mengatakan pihaknya mendeteksi serangan pada 2 Februari dan mengamankan jaringannya. Namun menurut pemberitahuan pelanggarannya, peretas sebenarnya sudah berada di dalam sistem sejak November 2025 dan berhasil menyalin file sebelum dikeluarkan.
NYC Health + Hospitals melaporkan insiden itu ke Departemen Kesehatan dan Layanan Kemanusiaan AS. Sistem ini melayani lebih dari satu juta warga New York, kebanyakan tidak memiliki asuransi atau bergantung pada cakupan kesehatan negara bagian seperti Medicaid.
Sidik jari, telapak tangan, dan dokumen identitas diambil
Informasi yang terekspos berbeda-beda per orang, tetapi organisasi mengatakan itu mencakup rincian rencana dan kebijakan asuransi kesehatan, rekam medis seperti diagnosis, obat-obatan, pemeriksaan dan gambar medis, serta data penagihan, klaim, dan pembayaran. Dokumen identitas yang dikeluarkan pemerintah termasuk nomor Jaminan Sosial, paspor, dan surat izin mengemudi juga dikompromikan.
Pemberitahuan pelanggaran juga menyebutkan “data geolokasi yang presisi,” menimbulkan kemungkinan bahwa foto dokumen identitas yang diunggah mungkin menyertakan metadata lokasi.
Elemen paling sensitif dari insiden ini adalah pencurian data biometrik, termasuk sidik jari dan telapak tangan. Pengidentifikasi tersebut tidak dapat diubah jika disalahgunakan. NYC Health + Hospitals tidak menjelaskan mengapa menyimpan informasi biometrik, meskipun calon karyawan umumnya diwajibkan mendaftarkan sidik jari untuk pemeriksaan catatan kriminal. Masih belum jelas apakah data biometrik pasien juga ikut diambil.
Dituduh pelanggaran oleh vendor pihak ketiga
Lindungi privasi Anda dengan Doppler VPN
Uji coba gratis 3 hari. Tanpa registrasi. Tanpa log.
Sistem kesehatan mengatakan peretas masuk melalui pelanggaran di vendor pihak ketiga yang tidak disebutkan namanya. Situs webnya sempat offline singkat pada Senin pagi, dan juru bicara tidak segera menanggapi pertanyaan tentang serangan itu, termasuk mengapa butuh berbulan-bulan untuk mendeteksinya dan apakah organisasi itu menerima tuntutan tebusan.
Penyedia layanan kesehatan telah berulang kali menjadi sasaran penjahat siber yang bermotif finansial dalam beberapa tahun terakhir karena volume data pribadi, medis, dan penagihan sensitif yang mereka miliki. Pelanggaran NYC Health + Hospitals sekarang menjadi salah satu contoh paling serius tahun ini.
Sumber-sumber: