O NYC Health and Hospitals (NYCHHC), maior sistema público de saúde dos Estados Unidos, confirmou que sofreu uma invasão cibernética que expôs dados sensíveis de pelo menos 1,8 milhão de pessoas — incluindo prontuários médicos, informações de seguros e até impressões digitais.

O ataque, detectado em 2 de fevereiro de 2026, permitiu que hackers permanecessem dentro da rede do NYCHHC entre novembro de 2025 e fevereiro de 2026, copiando arquivos durante esse período. A organização atende mais de um milhão de nova-iorquinos, a maioria sem seguro privado ou dependente de programas como o Medicaid.

O que foi roubado

Segundo o aviso oficial de violação publicado no site do NYCHHC, os dados expostos variam por indivíduo, mas incluem:

• Informações de planos e apólices de seguro de saúde
• Dados médicos: diagnósticos, medicamentos, exames e imagens
• Informações de cobrança, reivindicações e pagamentos
• Documentos de identidade emitidos pelo governo, como carteiras de Seguro Social
• Impressões digitais (fingerprints)
• Dados de geolocalização precisa — provavelmente capturados em fotos de documentos enviadas por usuários

Brecha via terceiro

O NYCHHC afirmou que os invasores conseguiram acesso devido a uma violação em um fornecedor terceirizado, que não foi identificado publicamente. Esse padrão — ataques via cadeia de suprimentos — tem se tornado cada vez mais comum em setores críticos como saúde.

A combinação de dados médicos detalhados com biometria (impressões digitais) e geolocalização cria um perfil excepcionalmente completo e permanente das vítimas. Diferente de senhas, impressões digitais não podem ser trocadas. Isso amplia o risco de fraude de identidade, chantagem e uso indevido em sistemas que dependem de autenticação biométrica.

O caso reforça a urgência de auditorias rigorosas em fornecedores terceirizados e de protocolos de segmentação de rede que limitem o alcance de invasores mesmo após o acesso inicial.