纽约公共医疗提供商纽约市卫生与医院公司(NYC Health + Hospitals,简称NYCHHC)披露,一起长达数月的数据泄露事件已导致至少180万人的个人信息、医疗记录及指纹扫描数据被黑客窃取。
NYCHHC是美国规模最大的公共医疗系统,每年为逾百万纽约市民提供医疗服务,其中大多数为无保险人群或享受医疗补助(Medicaid)等州政府医疗福利的人群。
该医疗系统已将上述数据向美国卫生与公众服务部进行了报告,此次事件由此成为今年迄今规模最大的医疗数据泄露事件之一。近年来,医疗机构因掌握大量高度敏感的患者个人、医疗及账单信息,已成为以牟利为目的的网络犯罪分子反复攻击的重点目标。
在其网站发布的数据泄露公告中,NYCHHC表示,该机构于2026年2月2日发现网络攻击并随即完成了系统加固。黑客在2025年11月至2026年2月2日期间持续访问其网络,并在此期间从系统中复制了大量文件。
NYCHHC表示,此次入侵源于一家第三方供应商遭受的安全漏洞,但未透露该供应商的具体名称。
据NYCHHC说明,泄露数据因人而异,涵盖患者的医疗保险计划及保单信息、医疗信息(如诊断记录、用药情况、检查结果及影像资料)、账单、理赔及支付信息,以及社会安全号码、护照、驾照等政府颁发的身份证件信息。
泄露公告还提及,此次事件中"精确地理位置数据"亦遭窃取,这意味着用户上传的身份证件照片中可能还包含了拍摄地点的精确位置信息。
此次泄露事件的敏感性尤为突出,原因在于黑客窃取了生物特征信息,包括指纹和掌纹。这些信息伴随当事人终身,一旦泄露将无法更换。NYCHHC未就其存储生物特征数据的原因作出解释。通常情况下,NYCHHC的应聘人员须录入指纹以供犯罪记录核查,但目前尚不清楚患者的生物特征数据是否也在此次事件中遭到窃取。
事件发生后,NYCHHC官网于周一上午一度无法访问。该机构发言人未就TechCrunch发送的采访邮件作出及时回应,TechCrunch就此次网络攻击提出了多项问题,包括为何该机构数月后才发现此次入侵,以及是否收到过黑客的任何通信(如勒索要求)。目前尚不清楚NYCHHC在网站中断期间是否能正常收发电子邮件。
此次事件与今年早些时候美国药物滥用问题全国协会(NADAP)发生的数据泄露事件似乎并无关联,后者导致逾5000名NYCHHC患者的信息遭到窃取。
据美国联邦调查局(FBI)发布的2025年度网络犯罪报告,医疗行业持续位居勒索软件攻击的首要目标。勒索软件犯罪分子通常入侵数据库后,在加密受害方服务器的同时窃取数据副本,并以公开数据相威胁,迫使受害方支付赎金。此前,针对联合健康集团旗下医疗技术巨头Change Healthcare的勒索软件攻击,使与俄罗斯有关联的黑客窃取了逾1.9亿美国人的医疗及账单信息,被认为是美国历史上规模最大的医疗数据失窃事件。
Q&A
Q1:NYCHHC数据泄露事件中,哪些类型的个人信息被黑客窃取了?
A:此次泄露的数据范围较广,包括患者的医疗保险计划及保单信息、诊断记录、用药情况、检查及影像资料、账单与理赔信息,以及社会安全号码、护照、驾照等身份证件信息。此外,精确地理位置数据及指纹、掌纹等生物特征信息也遭到窃取。生物特征数据的泄露尤为严重,因为这类信息无法像密码一样更换,将伴随当事人终身。
Q2:NYCHHC数据泄露事件是如何发生的,为何数月后才被发现?
A:根据NYCHHC的公告,此次入侵源于一家未具名的第三方供应商存在安全漏洞。黑客自2025年11月起便已进入系统,直至2026年2月2日才被发现,潜伏时间长达数月。对于为何如此迟才检测到入侵,NYCHHC目前未作出解释。TechCrunch已就此问题向该机构发出询问,但截至目前尚未收到回应。
Q3:医疗机构为何频繁成为网络攻击目标?
A:医疗机构掌握大量高度敏感的患者数据,包括个人信息、医疗记录和账单信息,对以牟利为目的的网络犯罪分子极具吸引力。据FBI 2025年度网络犯罪报告,医疗行业持续是勒索软件攻击的首要目标。勒索软件攻击者通常在窃取数据的同时加密受害方系统,以公开数据相威胁索取赎金。此前Change Healthcare遭受的攻击已导致逾1.9亿美国人的数据外泄,是迄今美国最大规模的医疗数据失窃事件。
好文章,需要你的鼓励
美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。
佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。