Организация NYC Health + Hospitals (NYC H+H) опубликовала уведомление об утечке данных, произошедшей в течение нескольких месяцев по вине стороннего поставщика, в результате чего были раскрыты крайне конфиденциальные данные по меньшей мере 1,8 миллиона пациентов и сотрудников, включая медицинские карты, данные государственных удостоверений личности, геолокационные данные и даже биометрические данные отпечатков пальцев и ладоней.
2 февраля 2026 года компания NYC H+H обнаружила подозрительную активность и впоследствии подтвердила, что с конца ноября 2025 года по февраль 2026 года посторонний злоумышленник имел доступ к отдельным частям ее сети.
В течение этого периода злоумышленники скопировали файлы, содержащие личную, медицинскую, финансовую и биометрическую информацию. Об этом инциденте было сообщено в Министерство здравоохранения и социальных служб США (HHS) 24 марта 2026 года; на данный момент он затронул не менее 1,8 миллиона человек, что делает его одним из крупнейших на данный момент случаев утечки данных в сфере здравоохранения в 2026 году.
Компания NYC H+H связывает это вторжение с утечкой данных у неназванного стороннего поставщика, имевшего доступ к её системам. Это соответствует современной схеме атак на цепочку поставок, при которой поставщик становится точкой входа для злоумышленников, позволяющей им получить доступ к системам или данным своих клиентов.
Подобные инциденты являются наглядным примером того, как конфиденциальные медицинские данные могут стать причиной длительного мошенничества, злоупотреблений, напоминающих действия программ-преследователей, и необратимой утраты конфиденциальности.
Проверьте, не были ли ваши личные данные раскрыты.
Типы данных
Согласно уведомлению NYC H+H и сопутствующим материалам, утечка данных охватывает необычайно широкий спектр и отличается высокой степенью детализации.
Мы можем разделить данные на три отдельных уровня:
- Классическая персональная информация (PII), которую можно сопоставить с другими утечёнными наборами данных: полные имена и контактные данные. Идентификаторы, выданные государственными органами, в том числе номера социального страхования, номера водительских удостоверений и паспортов, другие государственные идентификационные номера, идентификационные номера налогоплательщиков и PIN-коды для защиты личных данных, выданные Налоговым управлением США (IRS). В результате утечки также были раскрыты данные о счетах и платежах, а также банковские и карточные данные, которые могут быть использованы для прямого финансового мошенничества и проведения весьма убедительных атак с использованием методов социальной инженерии.
- Медицинские и страховые данные: подробные диагнозы, списки принимаемых лекарств и результаты анализов раскрывают информацию о заболеваниях, которые люди, возможно, скрывали от работодателей, родственников или страховых компаний, что создает условия для шантажа, целенаправленного мошенничества и дискриминации. Данные о страховании и выплатах могут быть использованы не по назначению для подачи мошеннических заявлений о выплате страхового возмещения, перенаправления выплат или подделки личности в системах здравоохранения.
- Биометрические данные: они являются не менее конфиденциальными, чем медицинская история, поскольку, как правило, остаются с человеком на всю жизнь. Их нелегко удалить или заменить. В случае утечки крупные базы данных биометрических данных становятся долгосрочной угрозой для всех, кто полагается на них как на надежные средства идентификации.
К сожалению, это часть более общей тенденции. По данным Центра по приему жалоб на интернет-преступления (IC3) ФБР, в 2025 году сектор здравоохранения стал наиболее уязвимым сектором критически важной инфраструктуры для атак с использованием программ-вымогателей: было зафиксировано 460 инцидентов с использованием программ-вымогателей и 182 случая утечки данных в сфере здравоохранения.
Один только вирус-вымогатель, атаковавший компанию Change Healthcare, привёл к утечке медицинских данных и сведений о платежах более 190 миллионов американцев, что наглядно продемонстрировало, как деятельность всего одного посредника в сфере здравоохранения может вывести из строя целую систему.
Что делать, если вы оказались в этой ситуации
Если вы когда-либо обращались в сеть NYC Health + Hospitals, существует вероятность, что ваши личные данные могли оказаться затронутыми.
NYC Health + Hospitals предоставляет услуги по предотвращению и устранению последствий кражи личных данных, включая мониторинг кредитной истории, через компанию Kroll Information Assurance, LLC на срок 24 месяца бесплатно всем лицам, которые когда-либо работали в NYC Health + Hospitals или были пациентами этой организации. Более подробную информацию можно найти в уведомлении об утечке данных.
Если вы считаете, что сталижертвой утечки данных, вот что вы можете сделать, чтобы защитить себя:
- Проверьте рекомендации компании.Каждое нарушение уникально, поэтому свяжитесь с компанией, чтобы выяснить, что произошло, и следуйте всем конкретным рекомендациям, которые она дает.
- Измените свой пароль. Вы можете сделать украденный пароль бесполезным для воров, изменив его. Выберите надежный пароль, который вы больше ни для чего не используете. А еще лучше, чтобы менеджер паролей выбрал его за вас.
- Включите двухфакторную аутентификацию (2FA). Если есть возможность, используйте в качестве второго фактора аппаратный ключ, ноутбук или телефон, совместимый с FIDO2. Некоторые формы 2FA можно подделать так же легко, как и пароль, но 2FA, основанный на устройстве FIDO2, подделать невозможно.
- Остерегайтесь мошенников, выдающих себя за других.Преступники могут связаться с вами, представляясь представителями взломанной платформы. Проверьте на официальном сайте, действительно ли платформа связывается с пострадавшими, и убедитесь в подлинности личности любого человека, который связывается с вами через другой канал связи.
- Не торопитесь. Фишинговые атаки часто выдают себя за знакомых вам людей или бренды и используют темы, требующие срочного внимания, например, пропущенные поставки, приостановка действия счета или предупреждения о безопасности.
- Рассмотрите возможность не сохранять данные своей карты. Конечно, удобнее позволить сайтам запомнить данные вашей карты, но это увеличивает риск в случае взлома системы безопасности продавца.
- Установите систему мониторинга личных данных, которая предупредит вас о том, что ваша личная информация попала в незаконный оборот в Интернете, и поможет вам восстановить ее.
Давайте посмотрим правде в глаза: окно в режиме инкогнито имеет свои ограничения.
Утечки данных, торговля в даркнете, мошенничество с кредитными картами. Malwarebytes Identity Theft отслеживает все эти угрозы, оперативно предупреждает вас и включает в себя страховку от кражи личных данных.
