Hackers roubam dados médicos e digitais de 1,8 milhão de pacientes no NYC Health

Vazamento de dados no NYC Health and Hospitals atinge 1,8 milhão de pessoas

O NYC Health and Hospitals (NYCHHC), maior rede de assistência médica pública dos Estados Unidos, confirmou uma grave violação de segurança que expõe informações pessoais e registros médicos de pelo menos 1,8 milhão de pacientes. O incidente, classificado como um dos maiores do setor de saúde neste ano, foi reportado oficialmente ao Departamento de Saúde e Serviços Humanos dos EUA.

Cronologia e origem do ataque

De acordo com o aviso oficial divulgado pela instituição, a invasão foi bloqueada em 2 de fevereiro, quando a rede foi protegida. As investigações preliminares indicam que os cibercriminosos mantiveram acesso aos sistemas entre novembro de 2025 e fevereiro de 2026, período em que realizaram a extração de arquivos. O NYCHHC atribuiu a brecha a uma vulnerabilidade em um fornecedor terceirizado, cuja identidade não foi revelada.

O sistema de saúde, que atende mais de um milhão de novos-iorquinos — muitos dos quais dependentes de programas como o Medicaid ou sem cobertura de seguro — tornou-se o mais recente alvo de grupos motivados pelo lucro, que buscam explorar bancos de dados sensíveis para extorsão ou venda de informações em mercados clandestinos.

Dados expostos e riscos biométricos

A extensão do vazamento é preocupante devido à natureza dos dados comprometidos, que variam conforme o perfil do indivíduo. Entre as informações acessadas pelos hackers estão:

  • Detalhes de planos de saúde e políticas de segurança;
  • Registros clínicos, incluindo diagnósticos, prescrições de medicamentos e laudos de exames;
  • Documentação de receitas e comissões de reembolso;
  • Documentos de identificação oficial, como números de Seguro Social, passaportes e carteiras de motorista;
  • Dados precisos de geolocalização, possivelmente extraídos de metadados em fotos de documentos enviados pelos usuários.

Um dos pontos mais sensíveis do ataque é o roubo de dados biométricos, como riqueza digital e registros da palma da mão. Diferentes de senhas, esses dados são imutáveis, o que eleva o risco de fraudes a longo prazo. Embora o NYCHHC tenha extraído digitalmente para verificações de antecedentes de candidatos a vagas de emprego, a instituição ainda não esclareceu se dados biométricos de pacientes também foram afetados ou qual a justificativa para o armazenamento dessas informações.

Contexto de vulnerabilidade no setor de saúde

Isso ocorre em um cenário onde o setor de saúde tem sido o foco principal de ataques de ransomware. Conforme o relatório anual sobre crimes cibernéticos do FBI, os criminosos têm aperfeiçoamento tático de criptografia e extorsão. O caso do NYCHHC é diferente de um episódio ocorrido no início de 2026, envolvendo a Associação Nacional sobre Problemas de Abuso de Drogas (NADAP), que afetou cerca de 5.000 pacientes da rede.

A escalada de vulnerabilidade no sistema de saúde americano ganhou evidência após o ataque à Change Healthcare, que expôs dados de 190 milhões de pessoas. Até o momento, o NYCHHC não respondeu a questionamentos sobre a demora na detecção da invasão ou sobre eventual critério de resgate por parte dos crimes.

Fonte: Techcrunch