纽约公立医院系统NYC Health + Hospitals近日证实,一场持续数月、长期未被发现的黑客入侵事件,导致至少180万名患者和员工的敏感信息遭窃。
报道标题截图
而最令人不安的是,被盗数据不仅包括社安号、医疗记录和地址信息,还涉及无法“更换”的生物识别数据——包括指纹与掌纹。网络安全专家警告,这类数据一旦流入黑市,风险可能伴随受害者终生。
黑客潜伏近三个月,180万人信息被复制
根据院方公布的通知,此次黑客攻击从2025年11月25日开始,一直持续到2026年2月11日。在长达近三个月时间里,攻击者一直潜伏在医院系统内部,大量复制患者和员工的敏感档案。直到今年2月2日,系统监测到异常网络活动后,医院才首次察觉问题。但此时,大量数据已经被转移。
根据院方披露,泄露的信息包括:社安号(SSN);医疗记录;出生日期;地址与联系方式;医保信息;精确地理位置数据;指纹与掌纹等生物识别信息。
AI示意图
最危险的不是密码,而是“无法重置”的指纹
此次事件最令外界震惊的,并不是社安号泄露,而是生物识别数据被盗。因为信用卡可以挂失,密码可以修改,但指纹无法更换。网络安全专家指出,一旦黑客获得完整的指纹模板,未来可能利用这些数据对部分身份验证系统发起“重放攻击”。
科技媒体TechCrunch分析称:“指纹本质上是一把永久密钥,而不是一串可以修改的密码。”这意味着,受影响的纽约市民即使现在没有遭遇盗刷或诈骗,也可能在未来多年持续面临身份盗用风险。尤其随着越来越多银行、手机和支付系统采用生物识别验证,问题可能进一步扩大。
第三方供应商成黑客突破口
目前调查显示,黑客可能并不是直接攻破纽约公立医院系统。而是先入侵一家第三方合作供应商,再借此渗透医院内部网络。这种“供应链攻击”近年来在医疗行业越来越常见。
由于医院系统通常与保险公司、实验室、外包IT公司和数据服务商共享权限,一旦其中一家安全防护较弱,就可能成为整个系统的漏洞入口。
更巧合的是,医院合作伙伴NADAP此前也曾曝出独立数据泄露事件,影响超过5000名患者。网络安全机构Purple Shield Security表示,这类攻击模式已经成为医疗行业“高危趋势”:“黑客通过第三方获取入口后,会在系统内部长期潜伏、横向移动,最终窃取最有价值的数据。”
低收入患者受冲击最大
此次泄露事件还有一个令人揪心的现实——受影响人群中,大量是低收入和公共保险患者。因为NYC Health + Hospitals本身就是纽约最大的公共医疗体系,长期服务无保险人士、Medicaid受保人以及低收入家庭。目前,院方已宣布向符合条件的患者与员工提供24个月免费信用监控服务,并设立专门热线。
联邦监管或将介入调查
根据美国《健康保险流通与责任法案》(HIPAA),医疗机构一旦发生大规模患者信息泄露,必须向联邦卫生部门及受影响个人发出正式通知。
目前,美国卫生与公共服务部(HHS)下属民权办公室预计将对此展开进一步调查,以确认医院及相关合作方是否履行了安全保护义务。纽约公立医院系统则表示,内部调查仍在继续。院方称,未来如发现更多受影响范围或新的安全风险,将继续更新通知。
https://www.msn.com/en-us/health/other/nyc-health-and-hospitals-says-hackers-stole-medical-data-and-fingerprints-during-breach-affecting-at-least-1-8-million-people/ar-AA23uDIm?apiversion=v2&domshim=1&noservercache=1&noservertelemetry=1&batchservertelemetry=1&renderwebcomponents=1&wcseo=1
