NYC Health + Hospitals 資料外洩事件 2026

全美最大市立醫療體系 NYC Health + Hospitals 遭第三方供應商安全事件波及,攻擊者入侵長達近三個月,竊走 180 萬人的敏感個資,含生物辨識(指紋、掌紋)與信用卡資料,為 2026 年美國醫療業最大外洩事件之一。

時間線

時間事件
2025-11-25攻擊者取得初始存取
2026-02-11攻擊行為終止
2026-02機構發現事件
2026-03公開揭露

影響規模

  • 受害人數:180萬人
  • 機構規模:45,000名醫護人員、70+服務點、橫跨紐約市五個行政區
  • 附屬計劃:MetroPlus 健保計劃

遭竊資料

  • 醫療:病歷號、診斷、用藥、檢驗、影像、療程、失能代碼
  • 保險:健康保險資訊
  • 生物辨識:指紋、掌紋(高敏感性,無法更換)
  • 金融:信用卡號、銀行帳號、線上帳號憑證
  • 個人:社會安全號、駕照、稅務編號、精準地理位置

攻擊向量

第三方系統廠商遭入侵,攻擊者透過供應商存取權滲透 NYC Health + Hospitals 網路與系統。

應對措施

  • 重設所有受影響帳號
  • 強化安全防護
  • 提供 24 個月身分詐欺防護(對象:2020年後員工及病患)

歷史前例

2021年2月,第三方供應商 CaptureRx 遭駭,影響 4.3 萬名病患。

來源文章

相關頁面