سرقت داده‌های پزشکی و اثر انگشت ۱.۸ میلیون نفر در نیویورک

بزرگترین سامانه بهداشت عمومی ایالات متحده که سالانه به بیش از یک میلیون نیویورکی خدمات درمانی ارائه می‌دهد، یک نقض امنیتی بزرگ را به وزارت بهداشت و خدمات انسانی آمریکا گزارش کرده است.

بر اساس اطلاعیه منتشرشده در وب‌سایت این شبکه بهداشتی، حمله سایبری در تاریخ ۲ فوریه شناسایی و شبکه بلافاصله ایمن‌سازی شد، با این حال بررسی‌ها نشان داد هکرها از نوامبر ۲۰۲۵ تا فوریه ۲۰۲۶ به شبکه داخلی دسترسی داشته‌اند و در این بازه زمانی فایل‌های متعددی را از سیستم‌ها کپی کرده‌اند.

مسئولان شبکه بهداشت نیویورک اعلام کردند که نفوذ اولیه از طریق یک تأمین‌کننده شخص ثالث که نام آن فاش نشده صورت گرفته است.

اطلاعات افشاشده برای هر فرد متفاوت است، اما به‌طور کلی شامل موارد زیر می‌شود:

اطلاعات طرح و پلیس بیمه درمانی

سوابق پزشکی (تشخیص بیماری‌ها، داروهای مصرفی، نتایج آزمایش‌ها و تصاویر پزشکی)

اطلاعات صورت‌حساب، ادعای بیمه و پرداخت‌ها

اسناد هویتی دولتی همچون شماره تأمین اجتماعی، پاسپورت و گواهینامه رانندگی

داده‌های موقعیت مکانی دقیق (Geolocation) که احتمالاً از طریق عکس‌های آپلودشده از مدارک هویتی استخراج شده‌اند

حساس‌ترین بخش این نقض داده‌ای، سرقت اطلاعات بیومتریک شامل اثر انگشت و کف دست است؛ داده‌هایی که افراد تا پایان عمر با خود دارند و در صورت سرقت، غیرقابل تعویض هستند؛ شبکه بهداشت نیویورک توضیحی درباره دلیل ذخیره‌سازی این داده‌ها ارائه نکرده است. هرچند از متقاضیان استخدام در این شبکه خواسته می‌شود اثر انگشت خود را برای بررسی سوابق کیفری ثبت کنند، اما هنوز مشخص نیست که آیا داده‌های بیومتریک بیماران نیز در این حمله سرقت شده است یا خیر.

وب‌سایت این شبکه بهداشتی روز دوشنبه به‌طور موقت از دسترس خارج شد؛ سخنگوی سازمان تا زمان تنظیم این گزارش به پرسش‌های رسانه‌ها درباره زمان دقیق کشف نفوذ، احتمال دریافت باج از سوی هکرها و اقدامات جبرانی پاسخ نداده است، همچنین مشخص نیست که آیا این حادثه با نقض داده‌ای پیشین در «انجمن ملی مشکلات سوء مصرف مواد» مرتبط است یا خیر؛ حادثه‌ای که در اوایل سال جاری منجر به سرقت اطلاعات بیش از ۵۰۰۰ بیمار تحت پوشش این شبکه شده بود.

بر اساس آخرین گزارش سالانه اف‌بی‌آی درباره جرایم سایبری در سال ۲۰۲۵، بخش سلامت همچنان یکی از اهداف اصلی حملات باج‌افزاری است؛ در این نوع حملات مجرمان ضمن نفوذ به پایگاه‌های داده و قفل کردن سرورهای قربانی، تهدید می‌کنند که در صورت پرداخت نکردن باج، اطلاعات سرقت‌شده را منتشر خواهند کرد.

به‌عنوان مثال حمله باج‌افزاری به شرکت «تغییر مراقبت‌های بهداشتی» زیرمجموعه یونایتد هلث، منجر به سرقت اطلاعات پزشکی و صورتحساب بیش از ۱۹۰ میلیون آمریکایی شد؛ رویدادی که بزرگترین سرقت داده‌های پزشکی در تاریخ ایالات متحده تلقی می‌شود.

کارشناسان امنیت سایبری هشدار می‌دهند که با دیجیتالی‌شدن سریع سوابق سلامت و ارزش بالای این داده‌ها در بازارهای زیرزمینی، حملات به مؤسسات درمانی شاید در ماه‌های آینده نیز ادامه خواهد داشت.