NYC Health + Hospitals, ספק שירותי הבריאות הציבורי הגדול בניו יורק, הודיעה על פריצה ממושכת שהשפיעה על לפחות 1.8 מיליון אנשים. כן, זה מספר ענק. והחלק שמדאיג במיוחד הוא לא רק מידע רפואי או פרטי תשלום, אלא גם מידע ביומטרי: טביעות אצבעות ותמונות של כף היד.
המערכת הזו היא אחת הגדולות בארה"ב: היא מטפלת ביותר ממיליון תושבי ניו יורק, שרבים מהם לא מבוטחים או מקבלים סיוע דרך תוכניות מדינה כמו Medicaid. בגלל גודל הפגיעה, המוסד דיווח למשרד הבריאות האמריקאי, מה שמכניס את האירוע לרשימת הפריצות הגדולות בתחום הבריאות של השנה.
מה קרה בפועל ומתי?
בפרסום באתר שלה, המערכת מסרה שהיא זיהתה את המתקפה ב-2 בפברואר 2026 והצליחה לאבטח את הרשת. אבל זה לא אומר שהפריצה התחילה אז. לפי הדיווח, ההאקרים קיבלו גישה לרשת בין נובמבר 2025 ועד פברואר 2026, ובתקופה הזו העתיקו קבצים מהמערכות.
הסיבה לפריצה, כך נטען, קשורה לפרצה אצל ספק צד שלישי שהמערכת לא נקבה בשמו. זה הטרנד הקבוע של השנים האחרונות: לא תמיד פורצים למערכת עצמה, לפעמים “נכנסים דרך החור” של מישהו שמחובר אליה.
איזה מידע נגנב?
כמות וסוגי הנתונים שונים בין אדם לאדם, אבל לפי ההודעה מדובר במאגר די סטנדרטי של העולם הרפואי, רק במצב פחות כיף:
מידע על ביטוח ותוכנית פוליסה, מידע רפואי כמו אבחנות, תרופות, בדיקות ותמונות, וגם חיובים, תביעות ותשלומי. בנוסף נכללו גם מסמכי זיהוי שהונפקו על ידי המדינה: מספרי ביטוח לאומי (SSN), דרכונים ורישיונות נהיגה.
ועכשיו החלק שמעלה דופק: נכתב גם שנלקחו נתוני מיקום גיאוגרפי מדויקים. במילים פשוטות, אם תמונות של מסמכי זיהוי הועלו למערכת, יכול להיות שהן נשאו איתן גם את המיקום המדויק שבו צולמו. כן, הטכנולוגיה הזאת ידידותית עד שהיא לא.
למה טביעות אצבע הן “בעיה לכל החיים”?
הפריצה הזו רגישה במיוחד כי נגנב מידע ביומטרי, כולל טביעות אצבעות והדפסי כף יד. בניגוד לסיסמה שאפשר להחליף, ביומטריה היא תכונה אישית שלא באמת מחליפים. כלומר, אם מישהו משתמש בזה לרעה, זה לא “סיסמה שנשברת” אלא משהו שנשאר איתך.
המערכת לא סיפקה הסבר למה היא שומרת ביומטריה. ובכל זאת, בתהליך העסקה למועמדים לעבודה במערכת, לרוב נדרשת הרשמה לטביעות אצבע כדי לבצע בדיקות רקע פליליות. כרגע לא ברור אם גם מטופלים הם אלו שנפגעו בביומטריה, או שמא מדובר בעיקר בתהליכי עובדים.
האתר ירד לזמן קצר ומה עם כופר?
ביום שני בבוקר האתר של NYC Health + Hospitals היה לא זמין לזמן קצר. נציג מטעם המערכת לא ענה מיד לפניות עם שאלות על המתקפה, כולל השאלה המעשית שכל ארגון שואל את עצמו: למה לקח חודשים לזהות את החדירה, והאם ההאקרים יצרו קשר עם דרישה לתשלום.
גם לא ברור אם בזמן השבתת האתר הייתה אפשרות לקבל מיילים, כי כן, לפעמים “המערכת מושבתת” זה גם עניין של תשתית וגם עניין של שליטה בנזק.
האם זה קשור לפריצות אחרות?
האירוע נראה לא קשור לפריצה קודמת יותר השנה שבה מידע של יותר מ-5,000 מטופלים במערכת הושפע גם כן. ובכלל, עולם הסייבר לא רגוע: דו"ח פשיעה קיברנטית עדכני מצביע על כך שתחום הבריאות נשאר יעד מרכזי לתוקפי כופר. הרעיון: נכנסים למסד נתונים, גונבים עותק, “מבלגנים” את המערכות, ואז מאיימים לפרסם את המידע אם לא משלמים.
בינתיים, אצל NYC Health + Hospitals מדובר כבר לא רק על נתונים. מדובר על זהות ביומטרית, ולזה אין כפתור “איפוס”.
