A NYC Health + Hospitals revelou um grande ataque cibernético que expôs dados pessoais, médicos e biométricos sensíveis pertencentes a aproximadamente 1,8 milhão de pessoas. A violação é agora considerada um dos maiores incidentes de segurança na saúde relatados em 2026.
Segundo o provedor público de saúde, atacantes obtiveram acesso não autorizado a sistemas internos entre novembro de 2025 e fevereiro de 2026, antes que a intrusão fosse detectada e contida. A organização informou que atividade suspeita foi descoberta em 2 de fevereiro, o que motivou uma investigação interna e medidas de resposta emergencial.
Os dados comprometidos incluem registros médicos altamente sensíveis, informações de seguros, detalhes de faturamento, números do Seguro Social, dados de carteira de motorista e registros de identificação emitidos pelo governo. A violação também expôs informações biométricas, incluindo varreduras de impressões digitais e palmas de mão, levantando preocupações de privacidade e segurança de identidade a longo prazo.
Ao contrário de senhas ou cartões de pagamento, identificadores biométricos não podem ser alterados uma vez comprometidos. Especialistas em segurança alertam que dados roubados de impressões digitais e palmas podem criar riscos permanentes para os indivíduos afetados caso as informações sejam posteriormente abusadas para fraudes, usurpação de identidade ou tentativas de burla de verificação de identidade.
A NYC Health + Hospitals afirmou que a violação parece ter se originado por um fornecedor terceirizado comprometido. O provedor de saúde não identificou publicamente o fornecedor envolvido, mas confirmou que os atacantes conseguiram acessar e copiar arquivos dos sistemas internos durante a janela de invasão.
Pesquisadores continuam alertando que organizações de saúde continuam sendo alvos de alto valor para cibercriminosos porque os registros médicos contêm informações pessoais e financeiras extensas que podem ser exploradas em campanhas de phishing, fraudes de seguros, roubo de identidade e ataques de engenharia social. As redes de saúde também são fortemente interconectadas com fornecedores, contratados e prestadores externos, aumentando a exposição ao risco da cadeia de suprimentos.
A organização informou que os indivíduos afetados estão sendo notificados e oferecem serviços de proteção de identidade e monitoramento de crédito. Autoridades também relataram o incidente ao Departamento de Saúde e Serviços Humanos dos EUA, conforme exigido pelas regulamentações federais de violação de serviços de saúde.
O incidente aumenta as preocupações em relação à cibersegurança no setor de saúde, onde ataques de ransomware, vazamentos de terceiros e exposições em larga escala de dados de pacientes continuam a aumentar. Analistas de segurança alertaram repetidamente que hospitais e sistemas públicos de saúde continuam vulneráveis devido ao envelhecimento da infraestrutura, ecossistemas complexos de fornecedores e ao alto valor das informações médicas nos mercados subterrâneos de cibercrime.