NYC Health + Hospitals heeft een grote cyberaanval onthuld waarbij gevoelige persoonlijke, medische en biometrische gegevens van ongeveer 1,8 miljoen personen zijn blootgelegd. De inbreuk wordt nu beschouwd als een van de grootste beveiligingsincidenten in de gezondheidszorg die in 2026 zijn gemeld.
Volgens de publieke zorgverlener kregen aanvallers tussen november 2025 en februari 2026 ongeautoriseerde toegang tot interne systemen, voordat de inbraak werd ontdekt en ingeperkt. De organisatie meldde dat er op 2 februari verdachte activiteiten werden ontdekt, wat leidde tot een intern onderzoek en noodmaatregelen.
De gecompromitteerde gegevens omvatten zeer gevoelige medische dossiers, verzekeringsinformatie, factureringsgegevens, sofinummers, rijbewijsgegevens en door de overheid uitgegeven identiteitsgegevens. De inbreuk bracht ook biometrische informatie bloot, waaronder vingerafdruk- en handpalmscans, wat langetermijnzorgen over privacy en identiteitsbeveiliging opleverde.
In tegenstelling tot wachtwoorden of betaalkaarten kunnen biometrische identificaties niet worden gewijzigd zodra ze zijn gecompromitteerd. Beveiligingsexperts waarschuwen dat gestolen vingerafdruk- en handafdrukgegevens permanente risico’s kunnen opleveren voor getroffen personen als de informatie later wordt misbruikt voor fraude, imitatie of het omzeilen van identiteitsverificatie.
NYC Health + Hospitals verklaarde dat de inbreuk lijkt te zijn ontstaan via een gecompromitteerde derde partij. De zorgverlener heeft de betrokken leverancier niet openbaar geïdentificeerd, maar bevestigde dat aanvallers tijdens het inbraakvenster toegang hadden tot en bestanden van interne systemen konden kopiëren.
Onderzoekers waarschuwen nog steeds dat zorgorganisaties waardevolle doelwitten blijven voor cybercriminelen omdat medische dossiers uitgebreide persoonlijke en financiële informatie bevatten die kan worden misbruikt in phishingcampagnes, verzekeringsfraude, identiteitsdiefstal en social engineering-aanvallen. Zorgnetwerken zijn ook sterk verbonden met leveranciers, aannemers en externe dienstverleners, wat de risicoblootstelling van supply chain toeneemt.
De organisatie zei dat getroffenen worden geïnformeerd en worden gewaarschuwd en worden diensten aangeboden voor identiteitsbescherming en kredietmonitoring. Functionarissen meldden het incident ook aan het Amerikaanse ministerie van Volksgezondheid en Human Services, zoals vereist onder federale regelgeving inzake gezondheidszorgovertredingen.
Het incident draagt bij aan groeiende zorgen rond cybersecurity binnen de gezondheidszorgsector, waar ransomware-aanvallen, inbraken van derden en grootschalige blootstellingen van patiëntgegevens blijven toenemen. Beveiligingsanalisten hebben herhaaldelijk gewaarschuwd dat ziekenhuizen en openbare zorgsystemen kwetsbaar blijven vanwege verouderde infrastructuur, complexe leveranciersecosystemen en de hoge waarde van medische informatie op ondergrondse cybercrimemarkten.