纽约市卫生与医院系统遭数据 breach，180 万人医疗数据及指纹被盗

美国纽约市公共医疗系统 NYC Health and Hospitals（NYCHHC）近日披露，一场持续数月的数据 breach 导致黑客窃取了至少 180 万人的个人数据、医疗记录及指纹扫描信息。NYCHHC 是美国最大的公共医疗系统，为超过一百万纽约人提供医疗服务，其中大多数是 uninsured 或依赖 Medicaid 等州医疗福利的人群。该机构向美国卫生与公众服务部报告了这一数字，使其成为 2026 年迄今为止规模最大的医疗相关数据 breach 之一。近年来，医疗组织因拥有大量高度敏感的患者个人、医疗及账单信息，频繁成为以经济利益为目的的网络犯罪分子的目标。根据其网站上的 breach 通知，NYCHHC 于 2 月 2 日检测到网络攻击并采取了网络安全措施，黑客在 2025 年 11 月至 2026 年 2 月期间可访问其网络，并在此期间复制了系统文件。NYCHHC 表示，此次 breach 源于某第三方供应商的安全漏洞，但未透露该供应商名称。受影响的个人数据因个体而异，包括患者的健康保险计划和政策信息、医疗信息（如诊断结果、药物、检查及影像资料）、账单、索赔和支付信息，以及政府签发的身份文件（如社会安全号码、护照和驾照）。通知还提到“精确地理位置数据”被窃取，这暗示用户上传的身份文件照片可能包含拍摄时的精确位置信息。此次 breach 的特殊性在于黑客窃取了生物识别信息，包括指纹和掌纹，这些信息对个人而言具有终身性且无法更换。NYCHHC 未解释存储生物识别数据的原因，通常其潜在员工需登记指纹以进行犯罪记录检查，但目前尚不清楚患者的生物识别信息是否也被窃取。截至周一上午，NYCHHC 网站曾短暂下线。该机构发言人未立即回复 TechCrunch 关于此次网络攻击的电子邮件询问，包括为何花了数月时间才检测到 breach，以及是否收到黑客的任何沟通（如付款要求）等问题。目前尚不清楚在网站 outage 期间 NYCHHC 是否能接收电子邮件。此次事件似乎与今年早些时候美国国家药物滥用问题协会（NADAP）的数据 breach 无关，后者导致超过 5000 名 NYCHHC 患者的信息在网络攻击中被窃取。根据美国联邦调查局（FBI）2025 年年度网络犯罪报告，医疗领域仍是勒索软件攻击者的主要目标，此类犯罪分子入侵数据库后，窃取数据副本并加密受害者服务器，威胁若不支付赎金就公布被盗数据。此前，联合健康集团旗下医疗科技巨头 Change Healthcare 遭遇的勒索软件攻击，导致与俄罗斯有关联的黑客窃取了超过 1.9 亿美国人的医疗和账单信息，被认为是美国历史上最大规模的医疗数据盗窃事件。