Un attacco informatico durato un mese ha portato al furto di dati e informazioni sensibili, ribadendo i rischi e le vulnerabilità delle infrastrutture critiche degli Usa.

Un data breach di un mese contro il sistema sanitario e degli ospedali di New York (NYC Health + Hospitals o NYCHHC) ha colpito 1,8 milioni di cittadini. “Dati personali, cartelli mediche, impronte digitali“, tutti oggetto del furto.

La conferma è arrivata da parte della stessa organizzazione, il più grande sistema sanitario pubblico degli Usa, che offre assistenza medica a oltre un milione di cittadini newyorkesi. Molti di questi non sono coperti da un’assicurazione oppure sono coperti da programmi sanitari statali come Medicaid.

L’organizzazione ha notificato l’incidente al Dipartimento della Salute e dei Servizi Umani degli Usa, rendendo questo episodio “una delle più grandi violazioni di dati sanitari registrate nel 2026“. Negli ultimi anni, le strutture sanitarie sono diventate bersagli frequenti dei cybercriminali, interessati a sottrarre enormi quantità di dati sensibili. Tra questi “informazioni personali, mediche e finanziarie dei pazienti“.

Le modalità dell’attacco

Secondo quanto l’NYCHHC ha riportato sul sito ufficiale, “l’individuazione dell’attacco informatico è avvenuta il 2 febbraio 2026, momento in cui si è proceduto a mettere in sicurezza la rete“. Tuttavia, gli hacker avrebbero avuto accesso ai sistemi già dal novembre 2025 fino al febbraio 2026, periodo durante il quale ci sarebbe stata la copiatura di numerosi file contenenti dati riservati.

L’accesso illecito sarebbe avvenuto attraverso una violazione che ha coinvolto un fornitore esterno, di cui il nome è ancora sconosciuto.

Tra le informazioni trafugate figurano dati relativi alle assicurazioni sanitarie, documentazione medica incluse diagnosi, farmaci prescritti, esami e immagini cliniche. Con loro, informazioni sulla fatturazione, richieste di rimborso e pagamenti. C’è inoltre stata la compromissione di documenti d’identità governativi come numeri di previdenza sociale, passaporti e patenti di guida.

Preoccupazioni per la tipologia dei dati

Particolarmente preoccupante è stato il furto di dati biometrici, tra cui impronte digitali e scansioni del palmo della mano. A differenza delle password, questi dati non possono essere modificati o sostituiti.

L’NYCHHC non ha spiegato perché conservasse tali informazioni biometriche. Questo, anche se i candidati a lavorare nel sistema sanitario sono generalmente tenuti a registrare le proprie impronte per controlli sui precedenti penali. Non è ancora chiaro se siano stati sottratti anche dati biometrici dei pazienti.

Nel comunicato si parla anche della compromissione di “dati di geolocalizzazione precisa”. Quest’ultimo elemento, sottolinea TechCrunch, “fa pensare che alcune fotografie caricate che gli utenti hanno caricato potessero contenere metadati GPS con la posizione esatta in cui erano state scattate“.

Lunedì scorso il sito web di NYCHHC risultava temporaneamente offline. L’incidente sembra essere separato da un’altra violazione informatica avvenuta all’inizio dell’anno presso la National Association on Drug Abuse Problems. In questo caso erano coinvolti i dati di oltre 5mila pazienti collegati a NYCHHC.

L’FBI: “Il settore sanitario continua a essere uno dei principali obiettivi degli attacchi ransomware“

Secondo l’ultimo rapporto annuale dell’FBI sui crimini informatici relativi al 2025, il settore sanitario continua a essere uno dei principali obiettivi degli attacchi ransomware.

In questo tipo di attacco, i criminali informatici entrano nei sistemi, rubano copie dei dati e bloccano i server della vittima. Minacciano poi di pubblicare le informazioni sottratte qualora non avvenga il pagamento del riscatto.

Uno degli episodi più gravi degli ultimi anni ha coinvolto Change Healthcare, società controllata da UnitedHealth Group. Nell’occasione, hacker criminali filo-russi hanno sottratto dati medici e di fatturazione di oltre 190 milioni di americani, in quello che viene considerato “il più grande furto di dati sanitari nella storia degli Usa“.

Vai al sito di Cybersecurity Italia.

L'articolo Usa, data breach contro il servizio sanitario di New York. Rubati dati e informazioni sensibili di 1,8 milioni di pazienti sembra essere il primo su CyberSecurity Italia.