NYC Health and Hospitals (NYCHHC), największy publiczny system opieki zdrowotnej w Stanach Zjednoczonych, poinformował o poważnym naruszeniu bezpieczeństwa, w wyniku którego hakerzy skopiowali pliki systemowe zawierające dane osobowe i medyczne oraz skany biometryczne. Organizacja zgłosiła incydent odpowiednim władzom i oszacowała liczbę poszkodowanych na co najmniej 1,8 miliona osób.
Co się stało — krótka rekonstrukcja zdarzeń
Według komunikatu NYCHHC atak został wykryty 2 lutego 2026 roku, a śledztwo wykazało, że napastnicy mieli dostęp do sieci organizacji od listopada 2025 roku do lutego 2026 roku. Zidentyfikowano, że wejście na system nastąpiło w wyniku naruszenia bezpieczeństwa u zewnętrznego, nienazwanego dostawcy usług. W okresie dostępu sprawcy skopiowali pliki z systemów NYCHHC, co doprowadziło do ujawnienia rozmaitych kategorii danych.
- Czas nieautoryzowanego dostępu: listopad 2025 – luty 2026.
- Data wykrycia naruszenia: 2 lutego 2026.
- Liczba dotkniętych osób: co najmniej 1,8 miliona.
- Źródło naruszenia: włamanie przez zewnętrznego dostawcę (nieujawnionego).
Zakres i rodzaj wykradzionych danych
NYCHHC informuje, że zakres skradzionych danych różni się w zależności od osoby. Wśród ujawnionych materiałów wymieniono informacje o planach i polisach ubezpieczeniowych, dane medyczne (diagnozy, leki, wyniki badań i obrazy medyczne), informacje rozliczeniowe, roszczenia i płatności. Ponadto skopiowano dokumenty tożsamości wydawane przez rząd, takie jak numery ubezpieczenia społecznego, paszporty i prawa jazdy.
W komunikacie podkreślono także, że w wycieku znalazły się „precyzyjne dane geolokalizacyjne”, co wskazuje, że przesyłane przez użytkowników zdjęcia dokumentów mogły zawierać metadane lokalizacyjne. Szczególnie wrażliwą kategorią jest kradzież skanów biometrycznych — w tym odcisków palców i linii dłoni — które są danymi trwałymi i trudnymi do zastąpienia.
Dlaczego wyciek biometrii jest problemem
Biometria, jak odciski palców czy skany dłoni, jest unikalna dla danej osoby i nie może zostać „zmieniona” tak jak hasło czy numer karty. Utrata takich danych stwarza długoterminowe zagrożenia związane z możliwością nadużyć, podszywaniem się i tworzeniem fałszywych profili tożsamości. NYCHHC nie wyjaśnił w komunikacie przyczyny przechowywania biometrii ani do jakiego stopnia dotknęła ona pacjentów, wskazując jedynie, że osoby zgłaszane jako kandydaci do pracy są zwykle zobowiązane do rejestracji odcisków palców w celach sprawdzenia karalności.
Kontekst: dlaczego sektor zdrowotny jest celem
Sektor opieki zdrowotnej jest atrakcyjnym celem dla przestępców finansowych z powodu zgromadzonych tam wrażliwych danych: pełnych historii medycznych, informacji płatniczych oraz dokumentów tożsamości. Raporty organów ścigania i instytucji bezpieczeństwa wskazują, że ataki na podmioty medyczne, w tym działania typu ransomware, pozostają jednymi z najbardziej dotkliwych form cyberprzestępczości, ponieważ mogą prowadzić do jednoczesnego złamania prywatności i zakłócenia opieki nad pacjentami.
W 2025 roku odnotowano już duże incydenty obejmujące dane medyczne na dużą skalę, co pokazuje, że problem jest systemowy i dotyczy zarówno dużych korporacji, jak i publicznych instytucji medycznych. Sytuacja NYCHHC wpisuje się w ten szerszy trend i przypomina o konieczności zabezpieczania nie tylko własnych systemów, ale też łańcuchów dostaw i partnerów zewnętrznych.
Możliwe konsekwencje dla poszkodowanych
Skutki wycieku mogą być wielowymiarowe: od ryzyka kradzieży tożsamości i oszustw finansowych, przez wykorzystanie medycznych informacji do nieuprawnionego dostępu do świadczeń, po długoterminowe konsekwencje związane z utratą kontroli nad danymi biometrycznymi. Ujawnienie danych geolokalizacyjnych może dodatkowo ujawnić miejsca związane z życiem prywatnym danej osoby.
- Monitorowanie rozliczeń i kont ubezpieczeniowych w celu wykrycia nieautoryzowanych roszczeń.
- Uważna obserwacja komunikatów od NYCHHC dotyczących zakresu wycieku i oferowanej pomocy.
- Rozważenie środków ochronnych dostępnych lokalnie, takich jak monitoring kredytowy czy blokady zgłoszeń (w zależności od jurysdykcji).
NYCHHC tymczasowo miało problemy z dostępnością swojej strony internetowej, a rzecznik placówki nie udzielił od razu odpowiedzi na pytania o szczegóły incydentu. Nie wiadomo także, czy organizacja otrzymała żądania okupu lub inne komunikaty od sprawców. W komunikacie wskazano, że incydent najprawdopodobniej był wynikiem naruszenia u zewnętrznego dostawcy, co stawia dodatkowy nacisk na zarządzanie bezpieczeństwem dostawców i audyty ich praktyk.
Wnioski i znaczenie dla systemów opieki zdrowotnej
Wyciek w NYCHHC pokazuje, że ochrona pacjentów wymaga nie tylko zabezpieczeń wewnętrznych, ale i rygorystycznego nadzoru nad partnerami technologicznymi. Organizacje medyczne muszą uwzględniać ryzyka związane z przechowywaniem biometrii, metadanymi w zdjęciach oraz zewnętrznymi integracjami. Przejrzystość w komunikacji po incydencie, szybkie wykrywanie naruszeń i wsparcie dla osób dotkniętych wyciekiem są kluczowe dla ograniczenia potencjalnych szkód.
Dalsze ustalenia będą zależeć od postępów dochodzenia i ujawnionych przez NYCHHC szczegółów. Dla pacjentów i pracowników oznacza to konieczność obserwacji oficjalnych komunikatów, monitorowania własnych danych oraz wykorzystywanie dostępnych środków ochrony tożsamości. Dla branży zdrowotnej to kolejny sygnał, by wzmacniać procedury bezpieczeństwa, audyty dostawców i mechanizmy wykrywania naruszeń.
