O NYC Health and Hospitals (NYCHHC), maior sistema público de saúde dos Estados Unidos, revelou que sofreu uma invasão cibernética que expôs dados sensíveis de pelo menos 1,8 milhão de pessoas — incluindo prontuários médicos, informações de seguros e até impressões digitais.

A brecha, reportada ao Departamento de Saúde dos EUA, já figura entre as maiores violações de dados de saúde de 2026. O NYCHHC atende mais de um milhão de nova-iorquinos, a maioria sem seguro privado ou dependente de programas como o Medicaid.

Três meses de acesso irrestrito

Segundo aviso publicado no site da instituição, o ataque foi detectado em 2 de fevereiro de 2026, mas os invasores já circulavam pela rede desde novembro de 2025. Durante esse período, copiaram arquivos contendo:

• Dados de planos de saúde e apólices
• Informações médicas (diagnósticos, medicamentos, exames, imagens)
• Dados de cobrança, sinistros e pagamentos
• Documentos de identidade emitidos pelo governo (como Social Security)
• Impressões digitais
• Dados de geolocalização precisa — possivelmente extraídos de metadados de fotos de documentos enviadas por usuários

Falha em fornecedor terceirizado

O NYCHHC atribuiu a invasão a uma brecha em fornecedor terceirizado, mas não revelou o nome da empresa. Esse vetor — a cadeia de suprimentos digital — tem sido explorado com frequência crescente, já que parceiros menores costumam ter defesas mais frágeis.

O que está em jogo

Dados médicos valem mais no mercado negro que informações financeiras: permitem fraudes de identidade, extorsão e até chantagem. A inclusão de biometria (impressões digitais) agrava o cenário — diferentemente de senhas, digitais não podem ser trocadas.

O NYCHHC informou que o tipo de dado exposto varia por indivíduo e prometeu notificar os afetados. Não há confirmação, na fonte, sobre medidas de mitigação ou compensação oferecidas.