Ущерб уже нанесён. Крупнейший в Нью-Йорке провайдер государственных медицинских услуг признал, что хакеры имели доступ к его системе на протяжении нескольких месяцев. Они украли данные и отпечатки пальцев. По предварительным оценкам, пострадали 1,8 миллиона человек.
NYCHHC (New York City Health + Hospitals) предоставляет медицинскую помощь более чем миллиону жителей города. В основном это граждане без страховки или получатели Medicaid. Сеть сообщила о вторжении в Министерство здравоохранения и социальных служб (HHS). Этот инцидент стал одной из крупнейших утечек медицинских данных в текущем году.
Медицинские учреждения остаются уязвимой мишенью для киберпреступников. Им нужны данные для выставления счетов и персональные идентификаторы. Всё это движимо финансовыми мотивами.
Что произошло
О вторжении стало известно 2 февраля. В этот день специалисты NYCHHC заметили атаку и заблокировали сеть. Однако доступ к системе был получен значительно раньше.
В период с ноября 2024 года по февраль 2025 года злоумышленники перемещались внутри сети, копировали файлы и оставались незамеченными.
Проблема возникла из-за небрежности стороннего поставщика услуг. NYCHHC не раскрывает, о какой именно компании идет речь.
Какие данные были украдены
Состав украденных данных варьируется в зависимости от пациента. Кто-то пострадал сильнее, чем другие.
* Медицинские записи, включая диагнозы, назначения лекарств и результаты анализов.
* Детали счетов и страховых требований.
* Номера социального страхования, водительские удостоверения и паспорта.
* Географические данные. Да, даже точные координаты места, где человек загружал фото документа.
Отдельно стоит вопрос о биометрических данных.
Отпечатки пальцев и ладоней. Эти данные неизменны: их нельзя сбросить, как пароль. NYCHHC не объяснило, зачем вообще хранились биометрические данные пациентов. Верно, что отпечатки используются для проверки сотрудников, но давали ли пациенты согласие на их сбор? Никто не знает, были ли биометрические данные конкретной целью злоумышленников или просто попали под удар вместе с остальным массивом информации.
Молчание руководства
Веб-сайт NYCHHC на короткое время был недоступен в понедельник утром. Когда издание TechCrunch попыталось задать вопросы по электронной почте, ответа не последовало.
Почему утечка была обнаружена не сразу, а спустя месяцы?
Отправляли ли хакеры требования о выкупе?
Представитель компании не прокомментировал ситуацию. Возможно, даже почтовые серверы были отключены. Подтвердить это сложно.
Не повторять историю
Ранее в этом году в результате отдельной утечки данных из базы Национальной ассоциации по борьбе с наркоманией (NADAP) пострадала информация более чем 5000 пациентов NYCHHC. Не стоит путать эти два инцидента: они не связаны между собой.
Но один вопрос остаётся открытым. Когда в открытом доступе оказываются геоданные и неизменяемые биометрические характеристики, что ещё остаётся скрытым?
