Der Schaden ist angerichtet. New Yorks größter Gesundheitsdienstleister gibt zu, dass Hacker monatelang in seinem System waren. Daten stehlen. Fingerabdrücke nehmen. Die Zahl liegt bei 1,8 Millionen Betroffenen.
NYCHHC kümmert sich um die Gesundheitsversorgung von über einer Million Stadtbewohnern. Hauptsächlich Menschen, die nicht versichert sind oder Medicaid beziehen. Das Netzwerk meldete den Eingriff dem Ministerium für Gesundheit und Soziale Dienste. Damit handelt es sich um einen der größten medizinischen Datendiebstähle in diesem Jahr.
Ziele im Gesundheitswesen sind Schwachstellen für Cyberkriminelle. Sie wollen Rechnungsinformationen. Sie wollen Identitäten. Geld treibt alles an.
Hier ist, was passiert ist
Entdeckt am 2. Februar. Damals sah NYCHHC den Angriff und sperrte das Netzwerk. Doch der Zugriff begann schon lange vorher.
Von November 2024 bis Februar 2025 schlichen Hacker durch die Systeme. Kopierte Dateien. Bleib ruhig.
Ein Drittanbieter ließ die Tür offen. NYCHHC wird nicht sagen, welches.
Was fehlt
Die erfassten Daten variieren je nach Patient. Einige wurden härter getroffen als andere.
* Krankenakten, einschließlich Diagnosen, Medikamente, Tests.
* Rechnungs- und Schadensdetails.
* Sozialversicherungsnummern. Führerscheine. Pässe.
* Geolocation-Daten. Ja. Sogar die genaue Stelle, an der jemand ein Ausweisfoto hochgeladen hat.
Dann ist da noch die Biometrie.
Fingerabdrücke. Palmenabdrücke. Diese ändern sich nicht. Sie können sie nicht wie ein Passwort zurücksetzen. NYCHHC erklärte nicht, warum die biometrischen Daten des Patienten überhaupt gespeichert wurden. Bei Mitarbeiterkontrollen werden sicher Fingerabdrücke verwendet, aber haben sich die Patienten dafür entschieden? Niemand weiß, ob ihre biometrischen Daten gezielt ins Visier genommen wurden oder ob sie einfach nur gestohlen wurden.
Stille an der Spitze
Die NYCHHC-Website ging kurzzeitig offline. Montagmorgen. Als TechCrunch Fragen per E-Mail schickte, herrschte Funkstille.
Warum sollte es Monate dauern, bis der Verstoß bemerkt wird?
Haben Hacker eine Lösegeldforderung gesendet?
Kein Wort vom Sprecher. Möglicherweise sind sogar E-Mail-Server ausgefallen. Schwer zu überprüfen.
Das hier nicht schon wieder
Anfang dieses Jahres wurden bei einem separaten Verstoß bei der NADAP (National Association on Drug Abuse Problems) Daten von mehr als 5.000 NYCHHC-Patienten erfasst. Verwechseln Sie das nicht mit diesem Vorfall. Sie haben nichts miteinander zu tun.
Eine Frage bleibt offen. Was gibt es angesichts der Geolokalisierung und permanenten biometrischen Daten eigentlich noch zu verbergen?
