Violações de dados, Notícias

Dados biométricos, diagnósticos e dados bancários expostos em grande violação de segurança na área da saúde

por Pieter Arntz | 19 de maio de 2026
informações digitais sobre saúde

A NYC Health + Hospitals (NYC H+H) divulgou um comunicado sobre uma violação de dados que durou meses, envolvendo um fornecedor terceirizado, e que expôs dados altamente confidenciais de pacientes e funcionários de pelo menos 1,8 milhão de pessoas, incluindo prontuários médicos, documentos de identidade oficiais, dados de geolocalização e até mesmo dados biométricos de impressões digitais e palmares.

A NYC H+H detectou atividades suspeitas em 2 de fevereiro de 2026 e confirmou posteriormente que um agente não autorizado teve acesso a partes de sua rede aproximadamente entre o final de novembro de 2025 e fevereiro de 2026.

Durante esse período, os invasores copiaram arquivos contendo informações pessoais, médicas, financeiras e biométricas. O incidente foi comunicado ao Departamento de Saúde e Serviços Humanos dos Estados Unidos (HHS) em 24 de março de 2026 e, atualmente, afeta pelo menos 1,8 milhão de pessoas, tornando-se uma das maiores violações de dados na área da saúde de 2026 até o momento.

Documento apresentado ao HHS

A NYC H+H atribui a invasão a uma violação de segurança ocorrida em um fornecedor terceirizado não identificado que tinha acesso aos seus sistemas. Isso se encaixa no padrão atual de violações na cadeia de suprimentos, em que um fornecedor se torna o ponto de entrada para que os invasores obtenham acesso aos sistemas ou dados de seus clientes.

Incidentes como esses são um exemplo clássico de como os dados de saúde, de natureza tão íntima, podem alimentar fraudes de longo prazo, abusos do tipo stalkerwaree a perda definitiva da privacidade.

Digital Footprint Scan

Verifique se seus dados pessoais foram expostos.

Tipos de dados

De acordo com o comunicado da NYC H+H e as matérias relacionadas, o conjunto de dados exposto é excepcionalmente abrangente e detalhado.

Podemos dividir os dados em três camadas distintas:

  • Informações de identificação pessoal (PII) clássicas, que podem ser combinadas com outros conjuntos de dados vazados: nomes completos e dados de contato. Identificadores emitidos pelo governo, incluindo números de Seguro Social, números de carteira de motorista e de passaporte, outros números de identificação governamentais, números de identificação fiscal e códigos PIN de proteção de identidade do IRS. A violação também expôs registros de cobrança e pagamento, além de dados bancários e de cartões, que podem ser usados para roubo financeiro direto e engenharia social altamente convincente.
  • Dados médicos e de seguros: diagnósticos detalhados, listas de medicamentos e resultados de exames revelam condições de saúde que as pessoas poderiam ter mantido em sigilo perante empregadores, familiares ou seguradoras, possibilitando chantagem, golpes direcionados e discriminação. Dados de seguros e sinistros podem ser utilizados indevidamente para apresentar pedidos de indenização fraudulentos, desviar reembolsos ou suplantar identidades existentes nos sistemas de saúde.
  • Dados biométricos: são pelo menos tão sensíveis quanto o histórico médico, pois tendem a acompanhar a pessoa por toda a vida. Não são fáceis de apagar ou substituir. Uma vez comprometidas, as grandes bases de dados biométricos tornam-se um risco de longo prazo para todos aqueles que confiam nelas como identificadores confiáveis.

Infelizmente, isso faz parte de um padrão mais amplo. O Centro de Denúncias de Crimes na Internet (IC3) do FBI informa que o setor de saúde foi o setor de infraestrutura crítica mais visado por ransomware em 2025, com 460 incidentes de ransomware e 182 violações de dados na área da saúde relatadas.

Somente o ataque de ransomware à Change Healthcare expôs dados médicos e de cobrança de mais de 190 milhões de americanos, destacando como um único intermediário do setor de saúde pode paralisar todo um sistema.

O que fazer se você estiver envolvido

Se você já teve contato com a NYC Health + Hospitals, é possível que suas informações pessoais tenham sido afetadas.

A NYC Health + Hospitals está disponibilizando serviços de prevenção e mitigação de roubo de identidade, incluindo monitoramento de crédito, por meio da Kroll Information Assurance, LLC, por um período de 24 meses, sem nenhum custo para todas as pessoas que já trabalharam ou foram pacientes da NYC Health + Hospitals. Para mais detalhes, consulte o aviso sobre violação de dados.

Se você acha que foiafetado por uma violação de dados, veja aqui o que pode fazer para se proteger:

  • Verifique as orientações da empresa.Cada violação é diferente, portanto, verifique com a empresa o que aconteceu e siga todas as orientações específicas fornecidas.
  • Altere sua senha. Você pode tornar uma senha roubada inútil para os ladrões alterando-a. Escolha uma senha forte que você não use para mais nada. Melhor ainda, deixe que um gerenciador de senhas escolha uma para você.
  • Habilitea autenticação de dois fatores (2FA).Se possível, use uma chave de hardware, laptop ou telefone compatível com FIDO2 como seu segundo fator. Algumas formas de 2FA podem ser phishadas com a mesma facilidade que uma senha, mas a 2FA que depende de um dispositivo FIDO2 não pode ser phishada.
  • Fique atento a impostores.Os criminosos podem entrar em contato com você fingindo ser a plataforma que sofreu a violação. Verifique no site oficial se a plataforma está entrando em contato com as vítimas e confirme a identidade de qualquer pessoa que entre em contato com você por outro canal de comunicação.
  • Não tenha pressa. Os ataques de phishing geralmente se fazem passar por pessoas ou marcas que você conhece e usam temas que exigem atenção urgente, como entregas perdidas, suspensões de contas e alertas de segurança.
  • Considere não armazenar os dados do seu cartão. É definitivamente mais conveniente permitir que os sites lembrem os dados do seu cartão, mas isso aumenta o risco caso um varejista sofra uma violação de segurança.
  • Configureo monitoramento de identidade, que o alerta se suasinformações pessoaisforem encontradas sendo comercializadas ilegalmente online e ajuda você a se recuperar depois.

Vamos ser sinceros: uma janela anônima tem suas limitações.

Violações de dados, comércio na dark web, fraudes de crédito. Malwarebytes Identity Theft monitora tudo isso, avisa você rapidamente e inclui um seguro contra roubo de identidade. 

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Golpes
Golpe da caixa de carne da Aldi

Facebook promete caixas de carne baratas da Aldi, mas acaba roubando os dados de pagamento

Maio 19, 2026

Uma oferta falsa de uma “caixa de carne” da Aldi que está se espalhando no Facebook as vítimas a fornecerem dados pessoais e de pagamento.

IA
Detecção de YouTube

YouTube o seu rosto para combater deepfakes

Maio 19, 2026

A "detecção de semelhança" promete proteção contra deepfakes gerados por IA, mas alguns criadores se mostram receosos em fornecer dados biométricos em troca.

Notícias
lembrar senhas

A Microsoft está alterando o comportamento Edgeem relação às senhas em texto simples

Maio 18, 2026

As senhas salvas no Microsoft Edge não Edge mais armazenadas em texto simples na memória durante toda a sessão do navegador, após um pesquisador ter levantado preocupações a esse respeito.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes