De schade is aangericht. De grootste gezondheidszorgaanbieder van New York geeft toe dat hackers maandenlang in zijn systeem hebben gezeten. Gegevens stelen. Vingerafdrukken nemen. De teller staat op 1,8 miljoen getroffen mensen.
NYCHHC verzorgt de gezondheidszorg voor meer dan een miljoen stadsbewoners. Meestal onverzekerde mensen of mensen die Medicaid gebruiken. Het netwerk meldde de inbraak bij het ministerie van Volksgezondheid en Human Services. Het maakt dit tot een van de grootste diefstallen van medische gegevens dit jaar.
Doelwitten in de gezondheidszorg zijn zwakke plekken voor cybercriminelen. Ze willen factuurgegevens. Ze willen identiteiten. Geld drijft het allemaal.
Dit is wat er gebeurde
Gedetecteerd op 2 februari. Op dat moment zag NYCHHC de aanval en sloot het netwerk af. Maar de toegang begon al lang daarvoor.
Van november 2024 tot en met februari 2025 hebben hackers zich door de systemen verspreid. Gekopieerde bestanden. Laag liggen.
Een externe leverancier liet de deur openstaan. NYCHHC wil niet zeggen welke.
Wat ontbreekt
De verzamelde gegevens variëren per patiënt. Sommigen werden harder getroffen dan anderen.
* Medische dossiers, inclusief diagnoses, medicijnen, tests.
* Facturatie- en claimgegevens.
* Burgerservicenummers. Rijbewijzen. Paspoorten.
* Geolocatiegegevens. Ja. Zelfs de exacte plek waar iemand een identiteitsfoto heeft geüpload.
Dan is er de biometrie.
Vingerafdrukken. Palmafdrukken. Deze veranderen niet. Je kunt ze niet opnieuw instellen als een wachtwoord. NYCHHC legde niet uit waarom biometrische gegevens van patiënten überhaupt werden opgeslagen. Bij werknemerscontroles worden zeker vingerafdrukken gebruikt, maar hebben patiënten zich hiervoor aangemeld? Niemand weet of hun biometrie specifiek gericht was of gewoon werd meegesleept.
Stilte aan de top
De NYCHHC-website ging kort offline. Maandagochtend. Toen TechCrunch mailde met vragen, radiostilte.
Waarom zou het maanden duren voordat de inbreuk wordt opgemerkt?
Hebben hackers losgeld geëist?
Geen woord van de woordvoerder. E-mailservers zijn mogelijk zelfs uitgevallen. Moeilijk te verifiëren.
Niet deze nog een keer
Eerder dit jaar werden bij een afzonderlijke inbreuk bij NADAP (National Association on Drug Abuse Problems) gegevens verzameld van meer dan 5.000 NYCHHC-patiënten. Verwar dit niet met dat incident. Ze hebben geen verband met elkaar.
Eén vraag blijft hangen. Wat valt er eigenlijk nog te verbergen, nu geolocatie en permanente biometrische gegevens in het wild leven?
