NYC Health + Hospitals, yaklaşık 1,8 milyon kişiye ait hassas kişisel, tıbbi ve biyometrik verilerin ortaya çıkarıldığı büyük bir siber saldırıyı açıkladı. İhlal şu anda 2026’da bildirilen en büyük sağlık güvenliği olaylarından biri olarak kabul ediliyor.
Kamu sağlık hizmeti sağlayıcısına göre, saldırganlar Kasım 2025 ile Şubat 2026 arasında izinsiz erişim sağladıktan sonra müdahale tespit edilip kontrol altına alındı. Örgüt, 2 Şubat’ta şüpheli bir faaliyetin tespit edildiğini, bunun da iç soruşturma ve acil müdahale önlemleri başlattığını belirtti.
Ele geçirilen veriler arasında son derece hassas tıbbi kayıtlar, sigorta bilgileri, fatura detayları, Sosyal Güvenlik numaraları, ehliyet verileri ve devlet tarafından verilen kimlik kayıtları yer alıyor. İhlal ayrıca parmak izi ve avuç içi izi taramaları dahil olmak üzere biyometrik bilgileri ortaya çıkardı ve bu da uzun vadeli gizlilik ve kimlik güvenliği endişelerini artırdı.
Şifreler veya ödeme kartlarının aksine, biyometrik tanımlayıcılar ele geçirildikten sonra değiştirilemez. Güvenlik uzmanları, çalınan parmak izi ve avuç içi izi verilerinin, bilgilerin daha sonra dolandırıcılık, taklit veya kimlik doğrulama girişimleri için kötüye kullanılması durumunda etkilenen bireyler için kalıcı riskler oluşturabileceği konusunda uyarıda bulunuyor.
NYC Health + Hospitals, ihlalın, tehlikeye girmiş bir üçüncü taraf tedarikçiden kaynaklandığını belirtti. Sağlık hizmeti sağlayıcısı, ilgili tedarikçiyi kamuoyuna açıklamadı ancak saldırganların müdahale süresi sırasında dahili sistemlerdeki dosyalara erişip kopyalayabildiklerini doğruladı.
Araştırmacılar, sağlık kuruluşlarının siber suçlular için yüksek değerli hedefler olmaya devam ettiğini çünkü tıbbi kayıtların oltalama kampanyaları, sigorta dolandırıcılığı, kimlik hırsızlığı ve sosyal mühendislik saldırılarında kullanılabilecek kapsamlı kişisel ve finansal bilgiler içerdiğini belirtmeye devam ediyor. Sağlık ağları ayrıca tedarikçiler, yükleniciler ve dış hizmet sağlayıcılarıyla yoğun şekilde bağlantılıdır ve bu da tedarik zinciri risk riskini artırır.
Kuruluş, etkilenen bireylerin bilgilendirildiğini ve kimlik koruma ile kredi izleme hizmetleri sunulduğunu belirtti. Yetkililer ayrıca olayı federal sağlık ihlali düzenlemeleri uyarınca ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na bildirdi.
Bu olay, sağlık sektöründe siber güvenlik konusunda artan endişeleri artırıyor; burada fidye yazılımı saldırıları, üçüncü taraf ihlalleri ve büyük ölçekli hasta veri riski artmaya devam ediyor. Güvenlik analistleri, hastanelerin ve kamu sağlık sistemlerinin yaşlanan altyapı, karmaşık tedarikçi ekosistemleri ve yeraltı siber suç piyasalarındaki tıbbi bilginin yüksek değeri nedeniyle savunmasız kaldığını defalarca uyardı.