Kolik pacientských záznamů bylo při úniku dat ManageMyHealth odhaleno?

Únik odhalil záznamy téměř 100 000 pacientů.

Bylo možné úniku dat ManageMyHealth zabránit?

Ano, vládní šetření zjistilo, že mu bylo zcela možné zabránit a že společnost obdržela varování o podobných zranitelnostech měsíce před útokem.

Jaká bezpečnostní selhání vedla k úniku?

Šetření odhalilo systémová selhání bezpečnostních kontrol a zjistilo, že společnost nepodnikla kroky na základě předchozích varování o srovnatelných zranitelnostech.

Jaký typ pacientských informací byl kompromitován?

Odhalené záznamy zahrnovaly citlivé údaje, jako jsou diagnózy, recepty, kontaktní informace a potenciálně i pojišťovací či finanční údaje.

Proč je odcizená zdravotní data považována za tak cennou pro útočníky?

Zdravotní údaje jsou trvalé a nelze je zrušit jako kreditní kartu, což je činí vysoce užitečnými pro krádeže identity, podvodné pojistné nároky a útoky sociálního inženýrství po mnoho let.

Únik dat ManageMyHealth: 100 tisíc záznamů pacientů odhaleno navzdory předchozím varováním

Vládní šetření zveřejněné 27. května 2026 potvrdilo to, čeho se bezpečnostní odborníci obávali: únik dat platformy ManageMyHealth, který odhalil záznamy téměř 100 000 pacientů, byl zcela preventabilní. Vyšetřování odhalilo závažná selhání bezpečnostních kontrol a co je možná nejznepokojivější, ukázalo, že společnost obdržela varování o podobných zranitelnostech měsíce předtím, než je útočníci úspěšně zneužili. Každému, kdo někdy svěřil digitální zdravotní platformě své nejcitlivější osobní údaje, vnucuje tento případ nepříjemnou otázku: co se stane, když je tato důvěra zneužita?

Únik dat ManageMyHealth není jen příběhem o selhání jedné společnosti. Je připomínkou, že obavy o soukromí pacientů při úniku zdravotních údajů jsou sdíleným břemenem, které instituce často nenesou za vás.

Co zjistilo šetření ManageMyHealth: ignorovaná varování a bezpečnostní selhání

Vládní šetření vykreslilo zdrcující obraz. Selhání bezpečnostních kontrol nebyla náhodná ani drobná. Byla systémová. Ještě významnější je, že zpráva potvrdila, že ManageMyHealth byl na zranitelnosti srovnatelné s těmi, které byly při útoku zneužity, upozorněn ještě předtím, než k útoku došlo. Varování nebyla včas vyslyšena.

Tento vzorec, kdy jsou známá rizika zdokumentována, ale jejich náprava je odkládána nebo odsouvána na vedlejší kolej, je jedním z nejčastějších zjištění napříč velkými bezpečnostními šetřeními ve zdravotnictví. Časová osa zde hraje obrovskou roli. Pokud je organizace na zranitelnost upozorněna a neodstraní ji, překračuje jakýkoli následný únik hranici nedbalosti směrem k něčemu záměrnějšímu: k rozhodnutí přijmout riziko jménem pacientů, kterých se nikdo neptal.

Téměř 100 000 pacientských záznamů představuje obrovské množství citlivých údajů: diagnózy, recepty, kontaktní informace a potenciálně i pojišťovací či finanční údaje. Tyto informace nemají expiraci. Jakmile se dostanou do rukou kyberzločinců, mohou být roky po počátečním incidentu využívány k podvodům s identitou, pojišťovacím podvodům nebo cíleným phishingovým kampaním.

Proč jsou zdravotní záznamy pro útočníky vysoce hodnotným cílem

Zdravotní údaje patří mezi nejcennější kategorie osobních informací na kriminálních tržištích. Na rozdíl od kompromitovaného čísla kreditní karty, které lze zrušit a znovu vydat, pacientovu zdravotní historii změnit nelze. Diagnóza je trvalá. Lékový záznam je s vaší identitou spojen na celý život.

Tato trvalost činí zdravotní záznamy mimořádně užitečnými pro krádeže identity, podvodné pojistné nároky a útoky sociálního inženýrství. Útočníci mohou zkombinovat odcizený zdravotní záznam s jinými uniklými datovými sadami a vytvořit podrobné profily jednotlivců. Taková hloubka informací dosahuje výrazně vyšší ceny než samotná finanční data.

Pro platformy jako ManageMyHealth, které shromažďují zdravotní záznamy napříč rozsáhlou populací pacientů, představuje jediný úspěšný únik pro útočníky obrovský výnos ve srovnání s vynaloženým úsilím. Tato asymetrie – vysoká odměna pro útočníky a devastující důsledky pro pacienty – je přesně důvodem, proč zdravotnické platformy musí brát bezpečnost jako nezpochybnitelnou infrastrukturu, nikoli jako provozní dodatečný nápad.

Co vám společnosti dluží vs. co musíte udělat sami

Právně a eticky dluží organizace, které shromažďují a uchovávají zdravotní údaje, pacientům přiměřený standard péče o ochranu těchto informací. Když společnost obdrží explicitní varování o zranitelnostech a nepodnikne žádné kroky, lze tvrdit, že tuto povinnost porušila. Vládní šetření a regulační důsledky mohou následovat, ale málokdy pacientům plně nahradí vzniklou újmu.

Odškodnění, pokud vůbec přijde, je pomalé a často neadekvátní vzhledem k dlouhodobým rizikům, která odhalený zdravotní záznam vytváří. Právní odpovědnost je retrospektivní. Řeší škodu až poté, co k ní došlo. Tato mezera mezi tím, co vám instituce dluží, a tím, co můžete skutečně získat zpět, je bodem, kde začíná osobní odpovědnost za soukromí.

Nejde o obviňování obětí. Pacienti by se neměli stát odborníky na kybernetickou bezpečnost, aby mohli bezpečně používat zdravotnickou platformu. Ale uznání limitů institucionální ochrany je praktickým východiskem. Jak ukazuje případ úniku dat WA DOL, dokonce i vládní agentury s explicitními právními závazky vědomě odkládaly řešení kritických bezpečnostních nedostatků po léta. Institucionální selhání není anomálie. Je to opakující se vzorec, se kterým musí jednotlivci počítat ve svých vlastních návycích v oblasti soukromí.

Nástroje osobního soukromí, které vás chrání, když firemní bezpečnost selže

Únik dat ManageMyHealth posiluje argument pro vytvoření vlastních vrstev ochrany soukromí nad rámec bezpečnosti, kterou platforma tvrdí, že poskytuje. Zde jsou konkrétní kroky, které stojí za zvážení:

Auditujte, co sdílíte. Před registrací na jakékoli zdravotní platformě zvažte, která datová pole jsou povinná a která volitelná. Poskytnutí nezbytného minima informací omezuje vaši expozici v případě, že je platforma napadena.

Používejte jedinečné e‑mailové adresy. Vytvoření samostatné e‑mailové adresy pro zdravotní účty znamená, že pokud dojde k úniku vašich přihlašovacích údajů, útočníci je nemohou použít k přístupu k vašemu primárnímu e‑mailu, bankovnictví nebo jiným citlivým účtům. Mnoho poskytovatelů e‑mailu podporuje aliasy právě za tímto účelem.

Povolte vícefaktorové ověřování všude, kde je nabízeno. I když bezpečnostní kontroly platformy selžou na úrovni infrastruktury, MFA vytváří další bariéru proti převzetí účtu na základě přihlašovacích údajů.

Aktivně sledujte své záznamy. Pokud jste informováni o úniku dat týkajícím se vašeho zdraví, zvažte zřízení varování před podvody nebo zmrazení úvěru u hlavních úvěrových registrů. Sledujte neobvyklé pojistné nároky nebo fakturační aktivity týkající se zdravotní péče, které mohou signalizovat zneužití vašich zdravotních informací.

Používejte VPN ve sdílených nebo veřejných sítích. I když VPN neochrání data uložená na napadeném serveru, brání odposlechu dat, která přenášíte, zejména v sítích, kde by váš provoz mohl někdo sledovat.

Rizika týkající se soukromí pacientů při úniku zdravotních údajů nejsou teoretická. Šetření ManageMyHealth jasně ukazuje, že varování zůstávají nevyslyšena, kontroly selhávají a cenu platí pacienti. Nejúčinnější reakcí je chápat svou vlastní digitální hygienu jako paralelní vrstvu ochrany, nezávislou na slibech jakékoli platformy.

Udělejte si tento týden čas na kontrolu, které zdravotní aplikace a platformy uchovávají vaše záznamy, jaká data ukládají a zda jste povolili všechny dostupné bezpečnostní možnosti. Na institucionální odpovědnosti záleží, ale nikdy by neměla být vaší jedinou obrannou linií.