纽约市健康与医院系统称，180万人在重大数据泄露中受影响

今年规模最大的医疗数据泄露之一

纽约市健康与医院系统表示，一次网络攻击泄露了至少180万人的高度敏感信息，使其成为截至目前2026年报告的最大医疗数据泄露事件之一。该公共医疗系统称，黑客窃取了个人数据、医疗记录以及生物识别扫描数据，包括指纹和掌纹。

仅从规模来看，这已经是一宗重大事件。而数据的性质让情况更糟。与密码不同，生物识别标识无法简单地重置并重新发放。一旦被攻破，它们会给受影响者带来长期风险。

在网络内长时间潜伏

根据所提供报告中对该组织泄露通知的描述，攻击于2026年2月2日被发现，但入侵者从2025年11月到2026年2月一直能够访问网络。在那段时间里，他们从系统中复制了文件。

该组织表示，此次入侵源于一家未具名第三方供应商遭到入侵。这一细节强化了医疗网络安全中反复出现的模式：即使是拥有庞大基础设施的大型机构，也可能通过相连的服务提供商暴露在风险之下。

被窃数据的范围异常广泛

纽约市健康与医院系统表示，泄露的信息因人而异，但可能包括保险和保单细节、诊断、药物、检测结果、医学影像、计费和索赔数据、支付信息，以及社会安全号码、护照和驾驶执照等政府身份证件记录。

报告还称，精确地理位置数据也被盗走，这表明上传的身份证明文件图片可能包含位置信息。如果这一点在大量记录中得到证实，其隐私影响将超出传统身份盗用风险的范围。

生物识别因素为何格外突出

指纹和掌纹的加入大幅提升了这起泄露的严重性。生物识别数据具有持久性。如果被滥用或再次传播，受影响者可采取的补救措施远少于信用卡或密码泄露后的应对方式。

该医疗系统没有解释为何存储生物识别数据，但报告指出，求职者通常需要提交指纹用于犯罪记录核查。目前尚不清楚患者的生物识别数据是否也被涉及。

对公共医疗系统的警示

纽约市健康与医院系统是美国最大的公共医疗系统，服务超过100万纽约人，其中许多人没有保险，或领取州医疗福利。这一背景使得此次泄露尤其严重。公共医疗系统掌握大量敏感记录，同时还要在极其紧张的预算、技术和运营约束下运转。

这一事件再次提醒人们，医疗行业仍然是以牟利为目的的网络犯罪分子的首要目标。医疗和身份记录价值高、难以替代，而且往往分散在复杂的供应商网络中。一旦攻击者找到薄弱点，后续损失可能极其巨大。

对受影响者来说，接下来的问题很实际：将会有哪些保护措施、通知和长期监控。对整个行业而言，信息则更加明确。在医疗领域，第三方暴露和缓慢发现，仍足以把一次系统入侵变成长期的个人安全问题。

本文基于 TechCrunch 的报道。 阅读原文.