Uma das maiores violações de dados de saúde do ano
A NYC Health and Hospitals afirma que um ciberataque expôs informações extremamente sensíveis pertencentes a pelo menos 1,8 milhão de pessoas, tornando-se uma das maiores violações de dados de saúde relatadas em 2026 até agora. O sistema público de saúde disse que hackers roubaram dados pessoais, registros médicos e varreduras biométricas, incluindo impressões digitais e impressões palmares.
O tamanho por si só já faria deste um incidente importante. A natureza dos dados torna tudo pior. Diferentemente das senhas, identificadores biométricos não podem simplesmente ser redefinidos e reemitidos. Uma vez comprometidos, criam um risco duradouro para as pessoas afetadas.
Um longo tempo de permanência na rede
De acordo com o aviso de violação da organização, conforme descrito no relatório fornecido, o ataque foi detectado em 2 de fevereiro de 2026, mas os invasores tiveram acesso à rede de novembro de 2025 até fevereiro de 2026. Durante esse período, copiaram arquivos de seus sistemas.
A organização disse que o comprometimento teve origem em uma violação em um fornecedor terceirizado não identificado. Esse detalhe reforça um padrão recorrente na cibersegurança da saúde: até grandes instituições com ampla infraestrutura podem ser expostas por meio de prestadores de serviços conectados.
Os dados levados eram incomumente amplos
A NYC Health and Hospitals disse que as informações expostas variam conforme a pessoa, mas podem incluir detalhes de seguro e apólice, diagnósticos, medicamentos, exames, imagens médicas, dados de faturamento e reclamações, informações de pagamento e registros de identificação governamental, como números do Seguro Social, passaportes e carteiras de motorista.
O relatório também diz que dados precisos de geolocalização foram levados, sugerindo que imagens de documentos de identidade enviadas podem ter carregado informações de localização. Se isso for confirmado em muitos registros, ampliaria as implicações de privacidade para além do risco convencional de roubo de identidade.
Por que o aspecto biométrico se destaca
A inclusão de impressões digitais e impressões palmares aumenta drasticamente a gravidade da violação. Dados biométricos são persistentes. Se forem usados indevidamente ou redistribuídos, as pessoas afetadas têm opções de recuperação muito menores do que teriam após a exposição de um cartão de crédito ou de uma senha.
O sistema de saúde não explicou por que armazenava dados biométricos, embora o relatório observe que candidatos a emprego geralmente são obrigados a fornecer impressões digitais para checagens de antecedentes criminais. Ainda não estava claro se os dados biométricos de pacientes também estavam envolvidos.
Um alerta para a saúde pública
A NYC Health and Hospitals é o maior sistema público de saúde dos Estados Unidos e atende mais de um milhão de nova-iorquinos, muitos dos quais não têm seguro ou recebem benefícios de saúde do estado. Esse perfil torna a violação especialmente grave. Sistemas públicos de saúde mantêm grandes volumes de registros sensíveis e, ao mesmo tempo, operam sob fortes restrições orçamentárias, técnicas e operacionais.
O incidente é mais um lembrete de que a saúde continua sendo um alvo prioritário para criminosos cibernéticos motivados financeiramente. Registros médicos e de identidade são valiosos, difíceis de substituir e frequentemente distribuídos por redes complexas de fornecedores. Uma vez que os atacantes encontram um ponto fraco, os danos subsequentes podem ser imensos.
Para as pessoas afetadas, a próxima preocupação é prática: quais proteções, notificações e monitoramento de longo prazo virão em seguida. Para o setor mais amplo, a mensagem é ainda mais clara. Na saúde, a exposição de terceiros e a detecção lenta ainda bastam para transformar uma violação de sistemas em um problema duradouro de segurança pessoal.
Este artigo é baseado na cobertura da TechCrunch. Leia o artigo original.
Originally published on techcrunch.com
