Szkody już zostały wyrządzone. Największy nowojorski podmiot świadczący publiczną opiekę zdrowotną przyznał, że hakerzy mieli dostęp do jego systemu przez kilka miesięcy. Ukradli dane i odciski palców. Według wstępnych szacunków dotkniętych zostało 1,8 mln osób.
NYCHHC (New York City Health + Hospitals) zapewnia opiekę zdrowotną ponad milionowi mieszkańców miasta. Są to przeważnie osoby nieubezpieczone lub beneficjenci Medicaid. Sieć zgłosiła włamanie Departamentowi Zdrowia i Opieki Społecznej (HHS). Incydent ten był jednym z największych wycieków danych medycznych w tym roku.
Placówki opieki zdrowotnej pozostają bezbronnym celem cyberprzestępców. Potrzebują informacji rozliczeniowych i identyfikatorów osobistych. Wszystko to podyktowane jest motywami finansowymi.
Co się stało
O inwazji wyszło na jaw 2 lutego. Tego dnia specjaliści NYCHHC zauważyli atak i zablokowali sieć. Dostęp do systemu uzyskano jednak znacznie wcześniej.
W okresie od listopada 2024 r. do lutego 2025 r. napastnicy przemieszczali się w sieci, kopiowali pliki i pozostawali niewykryci.
Problem powstał na skutek zaniedbania zewnętrznego usługodawcy. NYCHHC nie ujawnia, o której firmie mowa.
Jakie dane zostały skradzione
Skład skradzionych danych różni się w zależności od pacjenta. Niektórzy zostali uderzeni mocniej niż inni.
* Dokumentacja medyczna, w tym diagnozy, zlecenia leczenia i wyniki badań.
* Szczegóły rachunków i roszczeń ubezpieczeniowych.
* Numery ubezpieczenia społecznego, prawa jazdy i paszporty.
* Dane geograficzne. Tak, nawet dokładne współrzędne miejsca, z którego osoba zamieściła zdjęcie dokumentu.
Osobną kwestią jest dane biometryczne.
Odciski palców i odciski dłoni. Dane te są niezmienne: nie można ich zresetować, podobnie jak hasła. NYCHHC nie wyjaśniło, dlaczego w ogóle przechowywano dane biometryczne pacjentów. To prawda, że odciski palców służą do kontroli pracowników, ale czy pacjenci wyrazili zgodę na ich pobranie? Nikt nie wie, czy dane biometryczne były konkretnym celem atakujących, czy też były po prostu celem wraz z resztą informacji.
Cisza ze strony kierownictwa
W poniedziałek rano strona internetowa NYCHHC była przez krótki czas niedostępna. Kiedy TechCrunch próbował zadać pytania e-mailem, nie otrzymał odpowiedzi.
Dlaczego wycieku nie odkryto od razu, ale kilka miesięcy później?
Czy hakerzy wysłali żądania okupu?
Przedstawiciel firmy nie skomentował sytuacji. Możliwe, że nawet serwery pocztowe nie działały. Trudno to potwierdzić.
Nie powtarzaj historii
Na początku tego roku oddzielne naruszenie danych NADAP wpłynęło na informacje dotyczące ponad 5000 pacjentów NYCHHC. Nie należy mylić tych dwóch wydarzeń: nie są ze sobą powiązane.
Ale jedno pytanie pozostaje otwarte. Kiedy geodane i niezmienne cechy biometryczne są publicznie dostępne, co jeszcze pozostaje ukryte?
