New York’taki kamu sağlık sağlayıcısı NYC Health and Hospitals, bir siber saldırının kişisel verilerin, tıbbi kayıtların ve parmak izi taramalarının çalınmasına yol açtığını ve bu durumun en az 1.8 milyon kişiyi etkilediğini bildiriyor.
NYCHHC, Amerika Birleşik Devletleri’nin en büyük kamu sağlık sistemi olup, çoğunluğu sigortasız veya Medicaid gibi devlet sağlık yardımları alan bir milyondan fazla New Yorkluya sağlık hizmeti veriyor.
Bu sağlık sistemi, sayı ile ilgili bilgiyi ABD Sağlık ve İnsani Hizmetler Bakanlığı’na bildirdi ve bu durumu, yılın en büyük sağlıkla ilgili veri ihlallerinden biri olarak tanımladı. Son yıllarda, finansal açıdan motive olmuş siber suçlular, çok sayıda hasta verisini çalmak amacıyla sağlık kuruluşlarını hedef alıyor.
NYCHHC, web sitesinde bir veri ihlali bildiriminde bulunarak, 2 Şubat’ta bir siber saldırı tespit ettiklerini ve ağlarını güvence altına aldıklarını açıkladı. Hackerlar, Kasım 2025 ile Şubat 2026 arasında ağa erişim sağladı ve sistemlerden dosyalar kopyaladı.
İhlalin, adı açıklanmayan bir üçüncü taraf satıcıda gerçekleştiği belirtiliyor.
NYCHHC, sızdırılan verilerin bireyden bireye değiştiğini, sağlık sigortası planı ve poliçe bilgilerini, tıbbi bilgileri (tanılar, ilaçlar, testler ve görüntüler), faturalama, talepler ve ödeme bilgilerini içerdiğini ifade etti. Ayrıca, sosyal güvenlik numaraları, pasaportlar ve sürücü belgeleri gibi diğer devlet tarafından verilen kimlik belgelerinin de ele geçirildiği kaydedildi.
Bildiride, “kesin coğrafi konum verileri”nin de alındığı belirtiliyor. Bu durum, kullanıcıların kimlik belgelerinin fotoğraflarının, belgenin çekildiği tam konumu içermiş olabileceğini gösteriyor.
İhlal, hackerların parmak izleri ve avuç içi izleri gibi biyometrik bilgileri çalmış olması nedeniyle özellikle hassas. Bu bilgileri etkilenen bireyler ömür boyu taşıdığından, bu verilerin değiştirilmesi mümkün değildir. NYCHHC, biyometrik verilerin neden saklandığına dair bir açıklama yapmadı. Gelecek NYCHHC çalışanlarının genellikle suç kaydı kontrolü için parmak izlerini kaydetmeleri gerekiyor. Hastaların biyometrik verilerinin de alınıp alınmadığı henüz bilinmiyor.
NYCHHC’nin web sitesi, Pazartesi sabahı kısa bir süre kapalı kaldı. NYCHHC sözcüsü, TechCrunch’a siber saldırı ile ilgili sorulara hemen yanıt vermedi. TechCrunch, ihlalin neden bu kadar uzun sürede tespit edildiği ve hackerlardan herhangi bir iletişim alınıp alınmadığı gibi konuları sordu.
Web sitesi kapanırken NYCHHC’nin e-posta alıp almadığı belirsizliğini koruyor.
Söz konusu olayın, bu yıl daha önce yaşanan ve 5,000’den fazla NYCHHC hastasının bilgilerini etkileyen National Association on Drug Abuse Problems (NADAP) veri ihlali ile ilgili olmadığı görünmektedir.
FBI’ın 2025 yılına dair son siber suç raporuna göre, sağlık sektörü fidye yazılımcıları için en önemli hedeflerden biri olmaya devam ediyor. Bu suçlular, veritabanlarına girip verileri çalarak, kurbanın sunucularını şifreler ve eğer kurban fidye ödemezse çalınan verileri yayınlamakla tehdit eder. UnitedHealth’e ait sağlık teknolojisi devi Change Healthcare’e yönelik bir fidye saldırısı, Rusya ile bağlantılı hackerların 190 milyon Amerikalının tıbbi ve faturalama bilgilerini çalması ile sonuçlanmıştı; bu durum, ABD tarihindeki en büyük tıbbi veri hırsızlığı olarak değerlendiriliyor.
Bu olay karşısında nasıl bir önlem alınması gerektiğini düşünüyorsunuz?
