Nova York — O sistema público de saúde NYC Health and Hospitals (NYCHHC) confirmou que um ataque cibernético, mantido por cerca de três meses, resultou no roubo de informações pessoais, registros médicos e dados biométricos de pelo menos 1,8 milhão de pessoas.
A rede, considerada a maior estrutura pública de saúde dos Estados Unidos e responsável pelo atendimento de mais de um milhão de nova-iorquinos — muitos deles usuários de programas como o Medicaid — enviou a estimativa de vítimas ao Departamento de Saúde e Serviços Humanos dos EUA, classificando o caso entre as maiores violações do setor em 2026.
Invasão prolongada
De acordo com comunicado publicado no site da instituição, os invasores tiveram acesso ao ambiente interno entre novembro de 2025 e fevereiro de 2026. A intrusão foi detectada em 2 de fevereiro, data em que as equipes de TI isolaram os sistemas afetados.
O ponto de entrada, segundo o NYCHHC, foi uma brecha em fornecedor terceirizado não identificado. Durante o período de acesso, os hackers copiaram diversos arquivos armazenados na rede.
Dados comprometidos
As informações expostas variam de pessoa para pessoa e incluem:
- Planos e apólices de seguro-saúde;
- Detalhes médicos, como diagnósticos, prescrições, exames e imagens;
- Dados de faturamento, sinistros e pagamentos;
- Números de Previdência Social, passaportes e carteiras de motorista;
- Metadados de localização precisos associados a imagens de documentos;
- Registros biométricos, entre eles impressões digitais e palmares.
A coleta de biometria agrava a gravidade do incidente, uma vez que essas características são permanentes e não podem ser substituídas. A instituição informou que funcionários em processo de admissão costumam registrar impressões digitais para checagem de antecedentes, mas não esclareceu se biometria de pacientes também foi afetada.
Consequências e investigação
Na manhã de segunda-feira (18), o site do NYCHHC ficou temporariamente fora do ar, levantando dúvidas sobre a capacidade de comunicação da entidade por e-mail. Um porta-voz não respondeu aos questionamentos enviados pela imprensa, que incluíam o motivo da demora na detecção da invasão e a existência ou não de contatos ou exigências financeiras por parte dos criminosos.
Imagem: Internet
A organização reforçou que a ocorrência não guarda relação com o ataque sofrido no início do ano pela National Association on Drug Abuse Problems (NADAP), que expôs dados de mais de 5 mil pacientes vinculados ao sistema nova-iorquino.
Relatório anual do FBI sobre crimes cibernéticos, referente a 2025, aponta o setor de saúde como um dos principais alvos de grupos de ransomware. O documento cita, entre outros casos, a intrusão na Change Healthcare, controlada pela UnitedHealth, que expôs informações médicas e de cobrança de mais de 190 milhões de norte-americanos — considerada a maior violação desse tipo já registrada no país.
A investigação sobre o ataque ao NYC Health and Hospitals segue em andamento.
Com informações de TechCrunch
