Збитки вже завдано. Найбільший у Нью-Йорку провайдер державних медичних послуг визнав, що хакери мали доступ до його системи протягом кількох місяців. Вони вкрали дані та відбитки пальців. За попередніми оцінками, постраждали 1,8 мільйона людей.
NYCHHC (New York City Health + Hospitals) надає медичну допомогу понад мільйону жителів міста. В основному це громадяни без страховки чи одержувачі Medicaid. Мережа повідомила про вторгнення до Міністерства охорони здоров’я та соціальних служб (HHS). Цей інцидент став одним із найбільших витоків медичних даних у поточному році.
Медичні установи залишаються вразливою метою для кіберзлочинців. Їм потрібні дані для виставлення рахунків та персональні ідентифікатори. Все це рухається фінансовими мотивами.
Що сталося
Про вторгнення стало відомо 2 лютого. Цього дня фахівці NYCHHC помітили атаку та заблокували мережу. Однак доступ до системи було отримано значно раніше.
У період з листопада 2024 по лютий 2025 зловмисники переміщалися всередині мережі, копіювали файли і залишалися непоміченими.
Проблема виникла через недбалість стороннього постачальника послуг. NYCHHC не розкриває, про яку саме компанію йдеться.
Які дані були вкрадені
Склад вкрадених даних варіюється залежно від пацієнта. Хтось постраждав сильніше за інших.
* Медичні записи, включаючи діагнози, призначення ліків та результати аналізів.
* Деталі рахунків та страхових вимог.
* Номери соціального страхування, посвідчення водія та паспорта.
* Географічні дані. Так, навіть точні координати місця, де людина завантажувала фото документа.
Окремо стоїть питання про біометричні дані.
Відбитки пальців та долонь. Ці дані незмінні: їх не можна скинути як пароль. NYCHHC не пояснило, навіщо взагалі зберігалися біометричні дані пацієнтів. Правильно, що відбитки використовуються для перевірки співробітників, але чи давали пацієнти згоду на їхнє збирання? Ніхто не знає, чи були біометричні дані конкретною метою зловмисників, чи просто потрапили під удар разом із рештою масиву інформації.
Мовчання керівництва
Веб-сайт NYCHHC на короткий час недоступний у понеділок вранці. Коли видання TechCrunch спробувало поставити запитання електронною поштою, відповіді не було.
Чому витік був виявлений не відразу, а через місяці?
Чи надсилали хакери вимоги про викуп?
Представник компанії не прокоментував ситуацію. Можливо, навіть поштові сервери було вимкнено. Підтвердити це важко.
Не повторювати історію
Раніше цього року в результаті окремого витоку даних з бази Національної асоціації боротьби з наркоманією (NADAP) постраждала інформація більш ніж 5000 пацієнтів NYCHHC. Не варто плутати ці два інциденти: вони не пов’язані між собою.
Але одне питання залишається відкритим. Коли у відкритому доступі виявляються геодані та незмінні біометричні характеристики, що ще залишається прихованим?
