Lỗ hổng lớn tại NYC Health: Hacker đánh cắp dữ liệu y tế và vân tay của 1,8 triệu người

Lỗ hổng lớn tại NYC Health: Hacker đánh cắp dữ liệu y tế và vân tay của 1,8 triệu người

Hệ thống y tế công lớn nhất nước Mỹ, NYC Health and Hospitals, vừa xác nhận một vụ tấn công mạng nghiêm trọng làm lộ thông tin cá nhân và y tế của ít nhất 1,8 triệu người. Đáng chú ý, hacker đã đánh cắp cả dữ liệu sinh trắc học như vân tay và dấu vân tay lòng bàn tay, gây ra rủi ro bảo mật không thể thay đổi cho nạn nhân.

Chi tiết vụ tấn công

NYC Health and Hospitals (NYCHHC), đơn vị cung cấp dịch vụ chăm sóc sức khỏe cho hơn một triệu người New York (phần lớn là người không có bảo hiểm hoặc hưởng trợ cấp Medicaid), đã báo cáo sự cố lên Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ. Đây được xem là một trong những vụ vi phạm dữ liệu y tế lớn nhất từ trước đến nay.

Theo thông báo trên website, NYCHHC phát hiện cuộc tấn công vào ngày 2 tháng 2 và đã nhanh chóng cô lập mạng lưới. Tuy nhiên, điều đáng lo ngại là hacker đã có quyền truy cập vào hệ thống từ tháng 11 năm 2025 đến tháng 2 năm 2026. Trong khoảng thời gian này, kẻ tấn công đã sao chép hàng loạt tệp tin dữ liệu quan trọng.

Nguyên nhân của vụ việc được xác định là bắt nguồn từ một lỗ hổng bảo mật tại một nhà cung cấp bên thứ ba (third-party vendor), dù NYCHHC không công bố tên của đối tác này.

Dữ liệu bị đánh cắp

Dữ liệu bị lộ rất đa dạng và nhạy cảm, bao gồm thông tin bảo hiểm y tế, hồ sơ bệnh án (chẩn đoán, thuốc men, kết quả xét nghiệm và hình ảnh y tế), thông tin thanh toán và khiếu nại bảo hiểm. Ngoài ra, các giấy tờ tùy thân như số An sinh xã hội (Social Security numbers), hộ chiếu và bằng lái xe cũng bị xâm phạm.

Đặc biệt, vụ việc còn lộ cả "dữ liệu định vị địa lý chính xác", cho thấy các bức ảnh tài liệu do người dùng tải lên có thể chứa thông tin vị trí nơi chụp ảnh.

Tuy nhiên, khía cạnh nghiêm trọng nhất là việc đánh cắp dữ liệu sinh trắc học, bao gồm vân tay và dấu vân tay lòng bàn tay. Không giống như mật khẩu có thể thay đổi, dữ liệu sinh trắc học đi theo con người suốt đời và không thể "thay thế" nếu bị lộ. NYCHHC chưa giải thích rõ lý do lưu trữ dữ liệu này, mặc dù việc thu thập vân tay thường là yêu cầu bắt buộc đối với nhân viên y tế để kiểm tra lý lịch tội phạm. Hiện vẫn chưa rõ liệu vân tay của bệnh nhân có bị lấy đi hay không.

Bối cảnh an ninh mạng

Ngành y tế tiếp tục là mục tiêu hàng đầu của các tội phạm mạng sử dụng mã độc tống tiền (ransomware). Theo báo cáo hàng năm của FBI về tội phạm mạng năm 2025, tội phạm thường xâm nhập vào cơ sở dữ liệu, đánh cắp dữ liệu và mã hóa máy chủ của nạn nhân, sau đó đe dọa công bố dữ liệu nếu không được trả tiền chuộc.

Vụ việc tại NYCHHC nhắc nhở về cuộc tấn công vào Change Healthcare (thuộc UnitedHealth) đầu năm nay, nơi các hacker có liên quan đến Nga đã đánh cắp thông tin y tế và thanh toán của hơn 190 triệu người Mỹ, được coi là vụ trộm dữ liệu y tế lớn nhất trong lịch sử Hoa Kỳ.

Hiện tại, website của NYCHHC đã hoạt động trở lại sau thời gian ngắn bị gián đoạn. Tuy nhiên, đại diện của hệ thống y tế này vẫn chưa bình luận về lý do tại sao họ mất nhiều tháng để phát hiện ra vụ tấn công hay liệu có nhận được yêu cầu đòi tiền chuộc từ hacker hay không.