Die Epidemiologieabteilung des University of Hawaiʻi Cancer Center bestätigte, dass ein im August 2025 entdeckter Ransomware-Angriff möglicherweise persönliche Informationen von fast 1,2 Millionen Menschen offengelegt hat, so offizielle Mitteilungen der Institution und Berichte über den Datenverstoß. Der Cyberangriff richtete sich gegen Server, die epidemiologische Forschungsdaten enthielten, was zur Verschlüsselung und vermutlich zur Exfiltration von Datendateien führte, die Sozialversicherungsnummern, Führerscheininformationen und Wählerregistrierungen enthielten. Die Ermittler erklärten, der Vorfall habe weder die klinischen Operationen, die Patientenversorgungssysteme noch die Studienakten der University of Hawaiʻi beeinflusst.
Der Datenbruch wurde erstmals am 31. August 2025 bekannt, als das IT-Personal der Universität unautorisierte Aktivitäten auf Forschungsservern entdeckte, die von der Epidemiologieabteilung des Krebszentrums genutzt werden. Die Abteilung unterstützt langjährige Studien zum Krebsrisiko und zu Krankheitsmustern, darunter die 1993 gegründete Multiethnic Cohort (MEC) Studie. Die MEC-Studie rekrutierte Teilnehmer aus Hawaiʻi und Los Angeles, um das Krebsrisiko verschiedener Bevölkerungsgruppen zu untersuchen, und historische Daten, die mit ihr verbunden sind, gehörten zu den während des Angriffs abgerufenen Daten.
Eine vorläufige Untersuchung der Universität ergab, dass Akten im Zusammenhang mit der MEC-Studie Namen und Sozialversicherungsnummern der Teilnehmer enthielten. Der Vorstoß betraf auch historische Führerscheinunterlagen, die im Jahr 2000 vom Hawaiʻi State Department of Transportation erhoben wurden, sowie Wählerregistrierungsdaten aus Honolulu aus dem Jahr 1998, die beide Sozialversicherungsnummern zum Zeitpunkt der Sammlung als Identifikatoren verwendeten. Die Kombination dieser Quellen erhöhte die Zahl potenziell betroffener Personen über die Teilnehmer der MEC-Studie hinaus.
In einer Mitteilung im Februar teilten die Behörden mit, dass Briefe mit Dienstleistungen zur Kreditüberwachung und Identitätsschutz an etwa 87.493 Personen verschickt wurden, die an der MEC-Studie teilnahmen und deren Kontaktdaten bestätigt wurden. Die Universität gab außerdem an, Kontaktdaten von etwa 900.000 weiteren Personen gefunden zu haben, deren Informationen in den kompromittierten historischen Aufzeichnungen enthalten sein könnten. Die Benachrichtigung über den Verstoß wird weiterhin per E-Mail und einer eigenen Informationswebsite für potenziell Betroffene bereitgestellt.
Die Angreifer verschlüsselten die kompromittierten Systeme, was die Wiederherstellungsbemühungen verzögerte und es erschwerte, das volle Ausmaß des Lecks sofort einzuschätzen. Die Universität beauftragte externe Cybersicherheitsexperten und meldete den Vorfall im Rahmen ihrer Reaktion an die Strafverfolgungsbehörden. Zum Zeitpunkt des Angriffs erhielten die Behörden ein Entschlüsselungswerkzeug und erklärten, sie hätten Zusicherungen sichergestellt, dass alle gestohlenen Informationen vernichtet würden, obwohl sie keine Details zur Identität der Bedrohungsakteure genannt haben.
Die Universitätsleitung erklärte, der Angriff sei auf die Systeme der Epidemiologieabteilung beschränkt und habe keine Auswirkungen auf klinische Studien, Patientenversorgung oder andere Abteilungen des Krebszentrums. Der Präsident der Universität kündigte Pläne für eine umfassende Überprüfung der Informationstechnologiesysteme auf allen Campussen an, um Sicherheitskontrollen in Forschungs- und Verwaltungsumgebungen zu identifizieren und zu stärken.
Die Auswirkungen des Datenbruchs beziehen sich in erster Linie auf historische Forschungsdaten, die sensible persönliche Identifikatoren enthielten. Untersuchungen darüber, ob andere Arten von Informationen abgerufen oder evakuiert wurden, laufen weiter, wobei die Universität ankündigt, Einzelpersonen separat zu benachrichtigen, falls weitere kompromittierte Daten identifiziert werden.
Als Reaktion auf den Vorfall hat die Universität Maßnahmen wie Netzwerkhärtung, erweiterten Endpunktschutz mit kontinuierlicher Überwachung, Migration sensibler Forschungsserver zu verwalteten Rechenzentren, strengere Zugriffskontrollen für sensible Daten und erweiterte Cybersicherheitsschulungen für das Personal eingeführt. Unabhängige Dritte werden ebenfalls engagiert, um die Sicherheitskontrollen des Krebszentrums zu bewerten und zu validieren.
Universitätsbeamte haben die potenziell Betroffenen ermutigt, die angebotenen Kreditüberwachungs- und Identitätsschutzdienste in Anspruch zu nehmen und sich über offizielle Universitätskommunikationskanäle sowie die spezielle Ressourcen-Website für den Cyberangriff informiert zu halten.