Violações de dados, Notícias

Dados biométricos, diagnósticos e dados bancários expostos numa grave violação de segurança no setor da saúde

por Pieter Arntz | 19 de maio de 2026
informação digital sobre saúde

A NYC Health + Hospitals (NYC H+H) publicou um aviso sobre uma violação de dados que se prolongou por vários meses, envolvendo um fornecedor externo, e que expôs dados altamente confidenciais de pacientes e funcionários de, pelo menos, 1,8 milhões de pessoas, incluindo registos médicos, documentos de identificação oficiais, dados de geolocalização e até mesmo dados biométricos de impressões digitais e palmares.

A NYC H+H detetou atividade suspeita a 2 de fevereiro de 2026 e confirmou posteriormente que um agente não autorizado teve acesso a partes da sua rede entre, aproximadamente, o final de novembro de 2025 e fevereiro de 2026.

Durante esse período, os atacantes copiaram ficheiros contendo informações pessoais, médicas, financeiras e biométricas. O incidente foi comunicado ao Departamento de Saúde e Serviços Humanos dos EUA (HHS) a 24 de março de 2026 e afeta atualmente pelo menos 1,8 milhões de pessoas, tornando-se uma das maiores violações de dados no setor da saúde de 2026 até ao momento.

Documento apresentado ao HHS

A NYC H+H atribui a intrusão a uma falha de segurança num fornecedor externo não identificado que tinha acesso aos seus sistemas. Isto insere-se no padrão atual de violações da cadeia de abastecimento, em que um fornecedor se torna o ponto de entrada para os atacantes obterem acesso aos sistemas ou dados dos seus clientes.

Incidentes como estes são um exemplo clássico de como os dados de saúde, de natureza tão íntima, podem alimentar fraudes a longo prazo, abusos do tipo «stalkerware»e a perda permanente da privacidade.

Digitalização da pegada digital

Verifique se os seus dados pessoais foram expostos.

Tipos de dados

De acordo com o aviso da NYC H+H e os artigos relacionados, o conjunto de dados exposto é invulgarmente abrangente e detalhado.

Podemos dividir os dados em três camadas distintas:

  • Dados de identificação pessoal (PII) clássicos, que podem ser combinados com outros conjuntos de dados que sofreram fugas: nomes completos e dados de contacto. Identificadores emitidos pelo governo, incluindo números de segurança social, números de carta de condução e de passaporte, outros números de identificação governamentais, números de contribuinte e códigos PIN de proteção de identidade do IRS. A violação também expôs registos de faturação e pagamento, bem como dados bancários e de cartões, que podem ser utilizados para roubo financeiro direto e manobras de engenharia social altamente convincentes.
  • Dados médicos e de seguros: diagnósticos detalhados, listas de medicamentos e resultados de exames revelam condições de saúde que as pessoas poderiam ter mantido em segredo perante empregadores, familiares ou seguradoras, o que pode dar origem a chantagem, esquemas de fraude direcionados e discriminação. Os dados de seguros e de sinistros podem ser utilizados indevidamente para apresentar pedidos de indemnização fraudulentos, desviar reembolsos ou suplantar identidades existentes nos sistemas de saúde.
  • Dados biométricos: Estes são pelo menos tão sensíveis quanto o historial médico, uma vez que tendem a acompanhar-nos ao longo de toda a vida. Não são fáceis de apagar ou substituir. Uma vez comprometidos, os grandes bancos de dados biométricos tornam-se um risco a longo prazo para todos aqueles que confiam neles como identificadores fiáveis.

Infelizmente, isto faz parte de um padrão mais alargado. O Centro de Denúncias de Crimes na Internet (IC3) do FBI indica que o setor da saúde foi o setor de infraestruturas críticas mais visado por ransomware em 2025, com 460 incidentes de ransomware e 182 violações de dados na área da saúde comunicadas.

o ataque de ransomware à Change Healthcare expôs dados médicos e de faturação de mais de 190 milhões de americanos, o que demonstra como um único intermediário no setor da saúde pode perturbar todo um sistema.

O que fazer se estiver envolvido

Se já teve contacto com a NYC Health + Hospitals, é possível que os seus dados pessoais tenham sido afetados.

A NYC Health + Hospitals está a disponibilizar serviços de prevenção e mitigação do roubo de identidade, incluindo monitorização de crédito, através da Kroll Information Assurance, LLC, por um período de 24 meses e sem qualquer custo para todas as pessoas que tenham trabalhado ou sido pacientes da NYC Health + Hospitals. Para mais informações, consulte o aviso sobre a violação de dados.

Se acha que foiafetado por uma violação de dados, eis algumas medidas que pode tomar para se proteger:

  • Verifique as orientações da empresa.Cada violação é diferente, portanto, verifique com a empresa para saber o que aconteceu e siga todas as orientações específicas que ela oferecer.
  • Altere a sua palavra-passe. Pode tornar uma palavra-passe roubada inútil para os ladrões alterando-a. Escolha uma palavra-passe forte que não utilize para mais nada. Melhor ainda, deixe que um gestor de senhas escolha uma para si.
  • Ativea autenticação de dois fatores (2FA).Se possível, use uma chave de hardware, laptop ou telefone compatível com FIDO2 como seu segundo fator. Algumas formas de 2FA podem ser alvo de phishing tão facilmente quanto uma palavra-passe, mas a 2FA que depende de um dispositivo FIDO2 não pode ser alvo de phishing.
  • Tenha cuidado com os impostores.Os criminosos podem contactá-lo fazendo-se passar pela plataforma que sofreu a violação. Consulte o site oficial para verificar se a plataforma está a contactar as vítimas e confirme a identidade de qualquer pessoa que o contacte através de um canal de comunicação diferente.
  • Não tenha pressa. Os ataques de phishing fazem-se frequentemente passar por pessoas ou marcas que conhece e utilizam temas que requerem atenção urgente, como entregas não efectuadas, suspensões de contas e alertas de segurança.
  • Considere não guardar os dados do seu cartão. É definitivamente mais conveniente permitir que os sites guardem os dados do seu cartão, mas isso aumenta o risco caso um retalhista sofra uma violação de segurança.
  • Configureo monitoramento de identidade, que alerta seassuasinformações pessoaisforem encontradas sendo comercializadas ilegalmente online e ajuda na recuperação após o ocorrido.

Sejamos realistas, uma janela de navegação anónima tem as suas limitações.

Violações de segurança, comércio na dark web, fraude de cartões de crédito. Malwarebytes Identity Theft monitoriza tudo isto, alerta-o rapidamente e inclui um seguro contra roubo de identidade. 

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Fraudes
O esquema da caixa de carne da Aldi

Facebook promete caixas de carne baratas da Aldi, mas acaba por roubar os dados de pagamento

maio 19, 2026

Uma oferta falsa de uma «caixa de carne» da Aldi que se está a espalhar no Facebook as vítimas a revelarem dados pessoais e de pagamento.

IA
Detecção de YouTube

YouTube o teu rosto para combater deepfakes

maio 19, 2026

A «detecção de semelhanças» promete proteção contra deepfakes criados por IA, mas alguns criadores mostram-se receosos em fornecer dados biométricos em troca.

Notícias
lembrar senhas

A Microsoft está a alterar o comportamento Edgeno que diz respeito às palavras-passe em texto simples

maio 18, 2026

As palavras-passe guardadas no Microsoft Edge de permanecer na memória em texto simples durante toda a sessão do navegador, na sequência das preocupações levantadas por um investigador.

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes