NYC Health + Hospitals cho biết vụ vi phạm đã làm lộ hồ sơ y tế và dữ liệu sinh trắc học của 1,8 triệu người
Tin tặc truy cập hàng tháng dữ liệu nhạy cảm
NYC Health + Hospitals cho biết một cuộc tấn công mạng kéo dài nhiều tháng đã làm lộ dữ liệu cá nhân, hồ sơ y tế và thông tin sinh trắc học của ít nhất 1,8 triệu người, khiến đây trở thành một trong những vụ rò rỉ dữ liệu y tế lớn nhất được báo cáo trong năm nay.
Hệ thống y tế công lập này, lớn nhất ở Hoa Kỳ, cho biết họ phát hiện cuộc tấn công vào ngày 2 tháng 2 và đã bảo mật mạng lưới của mình. Nhưng theo thông báo vi phạm, tin tặc đã xâm nhập vào hệ thống từ tháng 11 năm 2025 và đã có thể sao chép các tập tin trước khi bị loại bỏ.
NYC Health + Hospitals đã báo cáo sự cố với Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ. Hệ thống này phục vụ hơn một triệu cư dân New York, phần lớn trong số họ không có bảo hiểm hoặc dựa vào chương trình chăm sóc sức khỏe của tiểu bang như Medicaid.
Vân tay, vân lòng bàn tay và giấy tờ tùy thân bị lấy
Thông tin bị tiết lộ thay đổi theo từng người, nhưng tổ chức cho biết bao gồm chi tiết về kế hoạch và chính sách bảo hiểm y tế, hồ sơ y tế như chẩn đoán, thuốc men, xét nghiệm và hình ảnh, cũng như dữ liệu thanh toán, yêu cầu bồi thường và hóa đơn. Giấy tờ tùy thân do chính phủ cấp bao gồm số An sinh Xã hội, hộ chiếu và bằng lái xe cũng bị xâm phạm.
Thông báo vi phạm cũng đề cập đến “dữ liệu vị trí chính xác,” làm dấy lên khả năng rằng ảnh giấy tờ tùy thân được tải lên có thể đã bao gồm siêu dữ liệu vị trí.
Yếu tố nhạy cảm nhất của sự cố là việc đánh cắp dữ liệu sinh trắc học, bao gồm vân tay và vân lòng bàn tay. Những định danh này không thể thay đổi nếu bị lạm dụng. NYC Health + Hospitals không giải thích lý do tại sao họ lưu trữ thông tin sinh trắc học, mặc dù ứng viên nhân viên thường được yêu cầu đăng ký vân tay để kiểm tra hồ sơ hình sự. Hiện chưa rõ liệu dữ liệu sinh trắc học của bệnh nhân có bị lấy hay không.
Đổ lỗi cho vi phạm nhà cung cấp bên thứ ba
Bảo vệ quyền riêng tư của bạn với Doppler VPN
Dùng thử miễn phí 3 ngày. Không đăng ký. Không nhật ký.
Hệ thống y tế cho biết tin tặc đã xâm nhập thông qua một vi phạm tại một nhà cung cấp bên thứ ba không được nêu tên. Trang web của nhà cung cấp này tạm thời không hoạt động vào sáng thứ Hai, và một phát ngôn viên đã không trả lời ngay lập tức các câu hỏi về cuộc tấn công, bao gồm lý do vì sao mất nhiều tháng mới phát hiện và liệu tổ chức có nhận được yêu cầu tiền chuộc hay không.
Các nhà cung cấp dịch vụ chăm sóc sức khỏe đã liên tục là mục tiêu của các tội phạm mạng vì động cơ tài chính trong những năm gần đây do khối lượng lớn dữ liệu cá nhân, y tế và thanh toán nhạy cảm mà họ nắm giữ. Vụ vi phạm tại NYC Health + Hospitals nay đứng vào hàng những ví dụ nghiêm trọng nhất trong năm.
Nguồn: