How many patient records were exposed in the ManageMyHealth breach?

The breach exposed the records of nearly 100,000 patients.

Was the ManageMyHealth data breach preventable?

Yes, a government inquiry found it was entirely preventable and that the company had received warnings about similar vulnerabilities months before the attack.

What security failures led to the breach?

The inquiry identified systemic security control failures and found that the company failed to act on prior warnings about comparable vulnerabilities.

What type of patient information was compromised?

The exposed records included sensitive data such as diagnoses, prescriptions, contact information, and potentially insurance or financial details.

Why is stolen healthcare data considered so valuable to attackers?

Healthcare data is permanent and cannot be canceled like a credit card, making it highly useful for identity theft, fraudulent insurance claims, and social engineering attacks for years.

ManageMyHealth proboj: 100.000 kartona pacijenata izloženo unatoč prethodnim upozorenjima

Vladina istraga objavljena 27. svibnja 2026. potvrdila je ono čega su se stručnjaci za sigurnost pribojavali: proboj podataka ManageMyHealth, koji je izložio kartone gotovo 100.000 pacijenata, bio je potpuno spriječiv. Istraga je utvrdila značajne propuste u sigurnosnim kontrolama i, što je možda najviše zabrinjavajuće, otkrila da je tvrtka primila upozorenja o sličnim ranjivostima mjesecima prije nego što su ih napadači uspješno iskoristili. Za svakoga tko je ikad povjerio digitalnoj zdravstvenoj platformi svoje najosjetljivije osobne podatke, ovaj slučaj postavlja neugodno pitanje: što se događa kada to povjerenje bude iznevjereno?

Proboj ManageMyHealth nije samo priča o neuspjehu jedne tvrtke. To je podsjetnik da je zabrinutost za osobnu privatnost zbog proboja zdravstvenih podataka zajednički teret, koji institucije često ne uspijevaju nositi umjesto vas.

Što je istraga ManageMyHealth otkrila: ignorirana upozorenja i sigurnosni propusti

Vladina istraga oslikala je poraznu sliku. Propusti u sigurnosnim kontrolama nisu bili slučajni ni manji. Bili su sustavni. Još važnije, izvješće je potvrdilo da je ManageMyHealth bio upozoren na ranjivosti usporedive s onima koje su iskorištene u proboju prije nego što se napad dogodio. Na ta upozorenja nije se pravovremeno djelovalo.

Ovaj obrazac, u kojem se dokumentiraju poznati rizici, ali se njihovo otklanjanje odgađa ili stavlja u drugi plan, jedan je od najdosljednijih nalaza u velikim istragama zdravstvene sigurnosti. Vremenski slijed ovdje je iznimno važan. Kada je organizacija upozorena na ranjivost i ne uspije je zatvoriti, svaki naknadni proboj prelazi iz nemara u nešto namjernije: izbor da se prihvati rizik u ime pacijenata koji nikada nisu bili upitani za mišljenje.

Gotovo 100.000 kartona pacijenata predstavlja golemu količinu osjetljivih podataka: dijagnoze, recepte, kontakt informacije i potencijalno podatke o osiguranju ili financijama. Ti podaci nemaju rok trajanja. Jednom kada dospiju u ruke zlonamjernih aktera, mogu se godinama nakon početnog incidenta koristiti za krađu identiteta, prijevare s osiguranjem ili ciljane phishing kampanje.

Zašto su zdravstveni kartoni meta visoke vrijednosti za napadače

Zdravstveni podaci spadaju među najvrjednije kategorije osobnih informacija na kriminalnim tržištima. Za razliku od kompromitiranog broja kreditne kartice, koji se može poništiti i ponovno izdati, medicinska povijest pacijenta ne može se promijeniti. Dijagnoza je trajna. Podaci o lijekovima vezani su uz vaš identitet doživotno.

Ta trajnost čini zdravstvene kartone iznimno korisnima za krađu identiteta, lažne zahtjeve za osiguranje i napade društvenog inženjeringa. Napadači mogu unakrsno povezati ukradeni medicinski karton s drugim procurjelim skupovima podataka kako bi izgradili detaljne profile pojedinaca. Ta dubina informacija postiže znatno višu cijenu od samih financijskih podataka.

Za platforme poput ManageMyHealth, koje objedinjuju zdravstvene kartone velikih populacija pacijenata, jedan uspješan proboj donosi napadačima ogroman povrat u odnosu na uloženi trud. Ta asimetrija – visoka nagrada za napadače i razorne posljedice za pacijente – upravo je razlog zašto zdravstvene platforme moraju tretirati sigurnost kao neupitnu infrastrukturu, a ne kao operativni naknadni dodatak.

Što vam tvrtke duguju u odnosu na ono što sami morate učiniti

Pravno i etički, organizacije koje prikupljaju i pohranjuju zdravstvene podatke duguju pacijentima razuman standard skrbi u zaštiti tih informacija. Kada tvrtka primi izričita upozorenja o ranjivostima i ne djeluje, može se tvrditi da je prekršila tu obvezu. Vladine istrage i regulatorne posljedice mogu uslijediti, ali rijetko kada u potpunosti obeštete pacijente.

Odšteta, kada do nje dođe, spora je i često nedovoljna u odnosu na dugoročne rizike koje stvara izloženi zdravstveni karton. Pravna odgovornost je retrospektivna. Rješava štetu tek nakon što je već nastala. Taj jaz između onoga što vam institucije duguju i onoga što zapravo možete povratiti upravo je točka u kojoj počinje osobna odgovornost za privatnost.

Ovdje se ne radi o okrivljavanju žrtve. Pacijenti ne bi trebali postajati stručnjaci za kibernetičku sigurnost kako bi sigurno koristili zdravstvenu platformu. No, priznavanje ograničenja institucionalne zaštite praktično je polazište. Kao što pokazuje slučaj proboja podataka WA DOL, čak su i vladine agencije s izričitim zakonskim obvezama svjesno godinama odgađale rješavanje kritičnih sigurnosnih propusta. Institucionalni neuspjeh nije anomalija. To je ponavljajući obrazac koji pojedinci moraju uzeti u obzir u vlastitim navikama vezanim uz privatnost.

Alati za osobnu privatnost koji vas štite kada korporativna sigurnost zakaže

Proboj ManageMyHealth dodatno potvrđuje potrebu za nadogradnjom vlastitih praksi privatnosti povrh bilo kakve sigurnosti koju platforma tvrdi da pruža. Evo konkretnih koraka koje vrijedi poduzeti:

Revizija onoga što dijelite. Prije nego što se prijavite na bilo koju zdravstvenu platformu, razmislite koja su polja s podacima obvezna, a koja opcionalna. Pružanje minimalne potrebne količine informacija ograničava vašu izloženost ako ta platforma bude probijena.

Koristite jedinstvene adrese e-pošte. Stvaranje zasebne adrese e-pošte za zdravstvene račune znači da, ako vaše vjerodajnice budu kompromitirane u proboju, napadači ih ne mogu upotrijebiti za pristup vašoj glavnoj e-pošti, bankarstvu ili drugim osjetljivim računima. Mnogi pružatelji usluga e-pošte podržavaju pseudonime upravo u tu svrhu.

Omogućite višefaktorsku autentifikaciju svuda gdje je ponuđena. Čak i ako sigurnosne kontrole platforme zakažu na infrastrukturnoj razini, MFA stvara dodatnu prepreku protiv preuzimanja računa temeljenog na vjerodajnicama.

Aktivno pratite svoje kartone. Ako ste obaviješteni o proboju koji uključuje vaše zdravstvene podatke, razmislite o postavljanju upozorenja o prijevari ili zamrzavanju kredita kod glavnih kreditnih ureda. Pratite neobične zahtjeve za osiguranje ili medicinske račune, što može signalizirati da se vaši zdravstveni podaci zloupotrebljavaju.

Koristite VPN na dijeljenim ili javnim mrežama. Iako VPN neće zaštititi podatke pohranjene na probijenom poslužitelju, sprječava presretanje podataka koje prenosite, osobito na mrežama gdje bi drugi mogli nadzirati vaš promet.

Rizici za osobnu privatnost zbog proboja zdravstvenih podataka nisu teoretski. Istraga ManageMyHealth jasno pokazuje da se upozorenja zanemaruju, kontrole zakažu, a pacijenti plaćaju cijenu. Najučinkovitiji odgovor je tretirati vlastitu digitalnu higijenu kao paralelni sloj zaštite, neovisan o obećanjima bilo koje platforme.

Odvojite vrijeme ovaj tjedan da pregledate koje zdravstvene aplikacije i platforme drže vaše kartone, koje podatke pohranjuju i jeste li omogućili svaku dostupnu sigurnosnu opciju. Institucionalna odgovornost je važna, ali nikada ne bi smjela biti vaša jedina linija obrane.