NYC Health and Hospitals'ta Büyük Veri Sızıntısı: 1,8 Milyon Kişinin Parmak İzleri ve Tıbbi Verileri Çalındı

ABD'nin en büyük kamu sağlık sistemi olan New York City Health + Hospitals (NYCHHC), milyonlarca hastanın hassas verilerinin sızdırıldığı devasa bir siber saldırıya uğradığını açıkladı. Kurum tarafından ABD Sağlık ve İnsani Hizmetler Bakanlığı'na bildirilen verilere göre, saldırıdan en az 1,8 milyon kişinin etkilendiği belirlendi. Bu olay, yılın şimdiye kadarki en büyük sağlık sektörü veri ihlallerinden biri olarak kayıtlara geçti.

Siber saldırganların, Kasım 2025 ile Şubat 2026 tarihleri arasında sisteme erişim sağladığı ve bu süre zarfında kritik dosyaları kopyaladığı ortaya çıktı. NYCHHC, saldırının 2 Şubat'ta tespit edildiğini ve ağın hemen ardından güvenli hale getirildiğini bildirdi. Sızıntının, kurumun çalıştığı ancak isminin açıklanmadığı üçüncü taraf bir tedarikçideki güvenlik açığından kaynaklandığı belirtildi.

Çalınan verilerin kapsamı oldukça geniş ve kritik detaylar içeriyor. Sızdırılan bilgiler arasında hastaların sağlık sigortası poliçeleri, teşhisler, kullanılan ilaçlar, test sonuçları ve tıbbi görüntüler yer alıyor. Ayrıca faturalandırma ve ödeme bilgileri ile Sosyal Güvenlik numaraları, pasaport ve ehliyet gibi resmi kimlik belgeleri de saldırganların eline geçti. Dikkat çeken bir diğer detay ise "hassas konum verilerinin" de çalınmış olması; bu durum, kullanıcıların yüklediği kimlik belgelerinin meta verilerindeki konum bilgilerinin sızdırıldığını gösteriyor.

İhlalin en tehlikeli boyutu ise biyometrik verilerin çalınmış olması. Parmak izi ve avuç içi izi gibi değiştirilmesi imkansız olan bu verilerin sızdırılması, etkilenen kişiler için ömür boyu sürecek bir güvenlik riski oluşturuyor. Kurumun bu biyometrik verileri neden sakladığına dair net bir açıklama yapılmazken, aday çalışanların sabıka kayıtları kontrolü için parmak izi verdiği biliniyor; ancak hastaların biyometrik verilerinin sızıp sızmadığı henüz netleşmedi.

Saldırının ardından NYCHHC'nin web sitesinin kısa süreliğine çevrimdışı kaldığı gözlemlendi. Kurum sözcüleri, saldırının tespit edilme süresinin neden bu kadar uzun sürdüğü ve güvenlik zafiyetlerinin nasıl oluştuğu konusundaki sorulara henüz yanıt vermedi.