NYC Health + Hospitals diz que violação expôs prontuários médicos e dados biométricos de 1,8 milhão de pessoas
Hackers acessaram meses de dados sensíveis
NYC Health + Hospitals diz que um ciberataque que durou meses expôs dados pessoais, prontuários médicos e informações biométricas de pelo menos 1,8 milhão de pessoas, tornando-se uma das maiores violações de saúde reportadas neste ano.
O sistema de saúde pública, o maior dos Estados Unidos, disse que detectou o ataque em 2 de fevereiro e assegurou sua rede. Mas, segundo seu aviso de violação, os hackers já estavam dentro do sistema desde novembro de 2025 e conseguiram copiar arquivos antes de serem removidos.
O NYC Health + Hospitals relatou o incidente ao Departamento de Saúde e Serviços Humanos dos EUA. O sistema atende mais de um milhão de nova-iorquinos, a maioria sem seguro ou que depende de cobertura estadual de saúde, como o Medicaid.
Impressões digitais, impressões palmares e documentos de identidade foram obtidos
As informações expostas variam por pessoa, mas a organização disse que incluem detalhes de planos e apólices de seguro de saúde, prontuários médicos como diagnósticos, medicamentos, exames e imagens, além de dados de faturamento, sinistros e pagamentos. Documentos de identidade emitidos pelo governo, incluindo números do Seguro Social, passaportes e carteiras de motorista também foram comprometidos.
O aviso de violação também menciona "dados de geolocalização precisos", levantando a possibilidade de que fotos de documentos de identidade enviadas possam ter incluído metadados de localização.
O elemento mais sensível do incidente é o roubo de dados biométricos, incluindo impressões digitais e impressões palmares. Esses identificadores não podem ser alterados se forem usados indevidamente. NYC Health + Hospitals não explicou por que armazenava informações biométricas, embora candidatos a emprego geralmente sejam obrigados a cadastrar impressões digitais para verificações de antecedentes criminais. Ainda não está claro se os dados biométricos de pacientes também foram levados.
Falha em fornecedor terceirizado é apontada como responsável
Proteja sua privacidade com o Doppler VPN
3 dias de teste grátis. Sem cadastro. Sem registros.
O sistema de saúde disse que os hackers obtiveram acesso por meio de uma violação em um fornecedor terceirizado não identificado. O site do fornecedor ficou brevemente fora do ar na manhã de segunda-feira, e um porta-voz não respondeu de imediato às perguntas sobre o ataque, incluindo por que levou meses para ser detectado e se a organização havia recebido pedidos de resgate.
Provedores de saúde têm sido repetidamente alvos de cibercriminosos motivados financeiramente nos últimos anos por causa do volume de dados pessoais, médicos e de faturamento sensíveis que possuem. A violação em NYC Health + Hospitals agora figura entre os exemplos mais graves do ano.
Fontes: