NYC Health + Hospitals ha rivelato un importante attacco informatico che ha rivelato dati personali, medici e biometrici sensibili appartenenti a circa 1,8 milioni di persone. La violazione è ora considerata uno dei più grandi incidenti di sicurezza sanitaria segnalati nel 2026.
Secondo il fornitore di assistenza sanitaria pubblica, gli aggressori hanno ottenuto accesso non autorizzato ai sistemi interni tra novembre 2025 e febbraio 2026 prima che l’intrusione fosse rilevata e contenuta. L’organizzazione ha dichiarato che attività sospette sono state scoperte il 2 febbraio, il che ha scatenato un’indagine interna e misure di risposta d’emergenza.
I dati compromessi includono cartelle cliniche altamente sensibili, informazioni assicurative, dettagli di fatturazione, numeri di previdenza sociale, dati della patente di guida e documenti d’identità rilasciati dal governo. La violazione ha inoltre messo in luce informazioni biometriche, incluse scansioni di impronte digitali e palmari, sollevando preoccupazioni a lungo termine sulla privacy e sulla sicurezza dell’identità.
A differenza di password o carte di pagamento, gli identificatori biometrici non possono essere modificati una volta compromessi. Gli esperti di sicurezza avvertono che i dati rubati di impronte digitali e palmari potrebbero creare rischi permanenti per le persone coinvolte se le informazioni verranno successivamente abusate per frodi, impersonificazione o tentativi di bypass per la verifica dell’identità.
NYC Health + Hospitals ha dichiarato che la violazione sembra essere originata da un fornitore terzo compromesso. Il fornitore sanitario non ha identificato pubblicamente il fornitore coinvolto, ma ha confermato che gli attaccanti sono riusciti ad accedere e copiare file dai sistemi interni durante la finestra di intrusione.
I ricercatori continuano ad avvertire che le organizzazioni sanitarie restano bersagli di alto valore per i cybercriminali perché le cartelle cliniche contengono ampie informazioni personali e finanziarie che possono essere sfruttate in campagne di phishing, frodi assicurative, furti d’identità e attacchi di ingegneria sociale. Le reti sanitarie sono inoltre fortemente interconnesse con fornitori, appaltatori e fornitori di servizi esterni, aumentando l’esposizione al rischio della catena di approvvigionamento.
L’organizzazione ha dichiarato che le persone colpite vengono notificate e che vengono offerti servizi di protezione dell’identità e monitoraggio del credito. I funzionari hanno inoltre segnalato l’incidente al Dipartimento della Salute e dei Servizi Umani degli Stati Uniti, come richiesto dalle normative federali sulle violazioni sanitarie.
L’incidente aumenta le preoccupazioni riguardo alla cybersecurity nel settore sanitario, dove attacchi ransomware, violazioni di terze parti ed esposizioni su larga scala ai dati dei pazienti continuano ad aumentare. Gli analisti della sicurezza hanno ripetutamente avvertito che ospedali e sistemi sanitari pubblici rimangono vulnerabili a causa dell’invecchiamento delle infrastrutture, degli ecosistemi complessi dei fornitori e dell’alto valore delle informazioni mediche nei mercati sotterranei del cybercrimine.