Найбільша державна медична установа США NYC Health and Hospitals (NYCHHC) повідомила про масштабний витік персональних даних, унаслідок якого зловмисники отримали доступ до медичних записів, особистої інформації та біометричних даних щонайменше 1,8 мільйона людей.
Про це розповідає ProIT
Деталі кібератаки та обсяг викраденої інформації
NYCHHC, яка надає медичні послуги більш ніж мільйону мешканців Нью-Йорка, включно з тими, хто не має медичної страховки або користується державною допомогою, зазнала цілеспрямованої атаки кіберзлочинців. Представники закладу повідомили, що злам тривав із листопада 2025 року до лютого 2026 року, поки його не вдалося виявити та заблокувати. За цей час хакери змогли скопіювати численні файли з мережі медзакладу.
Причиною інциденту стала вразливість у системах одного з підрядників NYCHHC, назву якого не розголошують. У результаті атаки було розкрито широкий спектр конфіденційних відомостей: інформація про медичне страхування, діагнози, призначені медикаменти, результати аналізів, знімки, дані щодо оплат, виставлених рахунків, а також документи, що посвідчують особу, включно з номерами соціального страхування, паспортами та водійськими посвідченнями.
«Точні геолокаційні дані також були викрадені під час зламу, що може свідчити про отримання хакерами фотографій документів із зазначенням місця їх створення».
Особлива небезпека через втрату біометричних даних
Інцидент набув особливої чутливості через крадіжку біометричних даних, зокрема відбитків пальців та долонь — ці ідентифікатори не можна змінити або відновити. NYCHHC не пояснила, чому зберігала такі дані, однак відомо, що майбутні працівники установи повинні здавали відбитки для перевірки наявності судимостей. Наразі невідомо, чи постраждали також біометричні дані пацієнтів.
Після виявлення атаки сайт NYCHHC тимчасово перестав працювати. Керівництво установи не надало оперативних коментарів щодо деталей інциденту, причин затримки з його виявлення чи можливих вимог хакерів щодо викупу.
Цей інцидент не пов’язаний із попереднім зламом Національної асоціації з проблем наркозалежності (NADAP), унаслідок якого цього року дані понад 5 тисяч пацієнтів NYCHHC також потрапили до рук кіберзлочинців.
Згідно з останнім річним звітом ФБР щодо кіберзлочинності за 2025 рік, сфера охорони здоров’я залишається однією з головних мішеней для атак із використанням програм-вимагачів. Наймасштабнішим випадком стала атака, організована пов’язаними з росією хакерами на компанію Change Healthcare (власник UnitedHealth), під час якої було викрадено медичні та фінансові дані понад 190 мільйонів американців.