Den größten der nachgetragenen Vorfälle meldet die New York City Health and Hospitals Corporation. Die Einrichtung gab das Datenleck im März bekannt; entdeckt worden war es am 2. Februar 2026. Eine Untersuchung ergab, dass Angreifer zwischen November 2025 und Februar 2026 über einen Drittanbieter Zugang zu den Systemen hatten. Betroffen sind persönliche, medizinische, biometrische sowie Krankenversicherungs- und Finanzdaten. Laut HHS-Verzeichnis sind 1,8 Millionen Personen betroffen.
Die Erie Family Health Centers in Chicago entdeckten den Angriff im Januar. Den Angaben zufolge hatten die Angreifer zwischen dem 10. Dezember 2025 und Ende Januar 2026 Zugriff auf das Netzwerk. Kompromittiert wurden nach Darstellung der Organisation Namen, Telefonnummern, E-Mail-Adressen, Sozialversicherungs-, Führerschein- und Passnummern, Online-Zugangsdaten sowie Finanz- und medizinische Informationen. Das Verzeichnis nennt 570.000 Betroffene.
Bei Florida Physician Specialists sollen 276.000 Personen betroffen sein. Laut einer Mitteilung auf der Website der Organisation hatten Angreifer im November 2025 zwei Tage lang Zugriff auf das Netzwerk und gelangten unter anderem an Namen, Sozialversicherungs- und Führerscheinnummern sowie Finanz- und medizinische Daten.
Coastal Carolina Health Care in North Carolina und Western Orthopaedics in Colorado melden jeweils rund 110.000 Betroffene. Coastal Carolina erklärte, den Einbruch vor mehr als einem Jahr bemerkt zu haben.
Bei einigen Einträgen sind die Angaben offenbar unzuverlässig. Für das Nacogdoches Memorial Hospital in Texas führt das HHS-Verzeichnis 2,5 Millionen Betroffene auf – zuvor war jedoch von 250.000 die Rede, was auf einen Zahlendreher hindeutet. Auch andere Werte könnten noch korrigiert werden: Für eine kleine Dermatologie-Praxis in Arizona wurde kürzlich ein Datenleck mit drei Millionen Betroffenen gemeldet, die Zahl im HHS-Verzeichnis später jedoch auf 500 nach unten korrigiert.
Keiner dieser Vorfälle im Gesundheitswesen wurde dem Bericht zufolge bislang von einer bekannten Cybercrime-Gruppe für sich beansprucht.
