- تؤكد مستشفيات NYC Health + Hospitals أن الهجوم الإلكتروني كشف عن بيانات حساسة لـ 1.8 مليون شخص
- تشمل المعلومات المسروقة السجلات الطبية، ووثائق الهوية الحكومية، وبيانات تحديد الموقع الجغرافي، وبصمات الأصابع البيومترية وبصمات اليد
- نتج الاختراق عن عيب لدى البائع من جهة خارجية أدى إلى زيادة مخاطر الاحتيال والانتحال والتصيد المستهدف على المدى الطويل
أكدت مستشفيات NYC Health + Hospitals (NYCHHC)، نظام الصحة العامة في نيويورك وأكبر شبكة للرعاية الصحية الحضرية في الولايات المتحدة، أنها كانت ضحية لهجوم إلكتروني أدى إلى فقدان بيانات حساسة للغاية تتعلق بـ 1.8 مليون شخص.
تتضمن البيانات المسروقة بصمات الأصابع وبصمات راحة اليد التي لا يمكن تغييرها أبدًا، مما يجعل هذا الاختراق أكثر إزعاجًا.
بالإشارة إلى إشعار خرق البيانات المنشور على موقع NYCHHC الإلكتروني، تك كرانش تدعي أن الهجوم بدأ في نوفمبر 2025 واستمر حتى فبراير 2026، عندما تم اكتشاف المجرمين أخيرًا وإزالتهم من الشبكة. ومع ذلك، خلال هذا الوقت، تمكنوا من استخراج بيانات حساسة من 1.8 مليون شخص، بما في ذلك خطة التأمين الصحي للمرضى ومعلومات السياسة والمعلومات الطبية (مثل التشخيص والأدوية والاختبارات والصور)، ومعلومات الفواتير، والمطالبات، ومعلومات الدفع.
هجوم على سلسلة التوريد من طرف ثالث
ومن الواضح أيضًا أن أرقام الضمان الاجتماعي وجوازات السفر ورخص القيادة قد تم اختراقها، ومما زاد الطين بلة، أن المهاجمين سرقوا أيضًا “بيانات تحديد الموقع الجغرافي الدقيقة”.
ومع ذلك، فإن البيانات المسروقة الأكثر قيمة هي بالتأكيد بصمات الأصابع وبصمات الكف. لا نعرف بالضبط عدد الأشخاص المتأثرين وما إذا كانوا موظفين أم مرضى أم كليهما، ولكن وفقًا ل تك كرانشتطلب مدينة NYCHHC من الموظفين تسجيل بصمات الأصابع لإجراء فحوصات الخلفية الجنائية.
تم الإبلاغ عن الحادث إلى وزارة الصحة والخدمات الإنسانية الأمريكية.
قالت NYCHHC إن المجرمين استغلوا ثغرة في بائع طرف ثالث مجهول. بالنسبة لكريس ديبرونر، كبير مسؤولي أمن المعلومات في CBTS، هذه ليست مفاجأة كبيرة لأن مؤسسات الرعاية الصحية “متصلة من الألف إلى الياء”. ومع ذلك، فهذا يعني أيضًا أنه “لا يمكن التعامل مع مخاطر الطرف الثالث وفوائد الطرف الثالث على أنها مربعات اختيار شراء أو مربعات اختيار امتثال سنوية.”
وعلق ديبرونر قائلاً: “قد تستمر المخاطر والتأثيرات الإضافية على الأفراد المتضررين لفترة أطول بكثير من العلاج الأولي”. “يمكن استخدام المعلومات الطبية والمعرفات الحكومية وبيانات الموقع والقياسات الحيوية بنجاح في عمليات التصيد الاحتيالي المستهدفة، انتحال الشخصية والاحتيال والهندسة الاجتماعية ليس فقط للأشخاص المتأثرين بشكل مباشر، ولكن من المحتمل أن يشمل أفراد العائلة والأصدقاء. يجب أن يكون وصول الطرف الثالث محدودًا ومراقبًا وربطًا بقوائم جرد شفافة للأدوار والبيانات والأنظمة. في هذه البيئات الحساسة، يجب قياس الأمن باستمرار من خلال مدى سرعة اكتشاف التأثيرات وتخفيفها قبل الوصول إلى نقطة التعافي.
أفضل برامج مكافحة الفيروسات لكل ميزانية
اتبع TechRadar على أخبار جوجل و أضفنا كمصدرك المفضل لتلقي أخبار ومراجعات وآراء الخبراء حول قنواتك.
