La division d’épidémiologie du Centre du cancer de l’Université d’Hawaï a confirmé qu’une attaque par ransomware découverte en août 2025 aurait potentiellement révélé des informations personnelles sur près de 1,2 million de personnes, selon les avis officiels de l’institution et les rapports sur la violation. La cyberattaque a ciblé des serveurs contenant des données de recherche épidémiologique, ce qui a conduit au chiffrement et à l’exfiltration probable de fichiers de données comprenant des numéros de sécurité sociale, des informations sur les permis de conduire et des dossiers d’inscription des électeurs. Les enquêteurs ont indiqué que l’incident n’avait pas affecté les opérations cliniques, les systèmes de soins aux patients ni les dossiers étudiants de l’Université d’Hawaï.
La violation a été révélée pour la première fois le 31 août 2025, lorsque le personnel informatique de l’université a détecté une activité non autorisée sur les serveurs de recherche utilisés par la division d’épidémiologie du Centre de canction. La division soutient des études de longue durée sur le risque de cancer et les schémas de maladie, notamment l’étude Multiethnic Cohort (MEC) établie en 1993. L’étude MEC a recruté des participants d’Hawaï et de Los Angeles pour examiner les risques de cancer dans des populations diverses, et les données historiques liées à ces données figuraient parmi les dossiers consultés lors de l’attaque.
L’évaluation préliminaire de l’université a révélé que les dossiers liés à l’étude MEC contenaient des noms et des numéros de sécurité sociale des participants. La violation concernait également des dossiers historiques de permis de conduire collectés en 2000 par le Département des Transports de l’État d’Hawaï et les données d’enregistrement des électeurs d’Honolulu datant de 1998, qui utilisaient tous deux des numéros de sécurité sociale comme identifiants au moment de la collecte. La combinaison de ces sources a permis d’élargir le nombre d’individus potentiellement impactés au-delà des participants de l’étude MEC.
Dans un avis de février, les responsables ont indiqué que des lettres proposant des services de surveillance de crédit et de protection d’identité avaient été envoyées à environ 87 493 personnes ayant participé à l’étude MEC et dont les coordonnées avaient été confirmées. L’université a également indiqué avoir localisé les coordonnées d’environ 900 000 autres personnes dont les informations auraient pu être incluses dans les archives historiques compromises. L’avis de la violation se poursuit par e-mail et un site d’information dédié aux personnes potentiellement concernées.
Les attaquants ont chiffré les systèmes compromis, ce qui a retardé les efforts de restauration et rendu difficile l’évaluation immédiate de l’ampleur complète de la brèche. L’université a fait appel à des experts tiers en cybersécurité et a signalé l’incident aux forces de l’ordre dans le cadre de sa réponse. Au moment de l’attaque, les responsables ont obtenu un outil de déchiffrement et ont indiqué avoir obtenu des garanties que toute information volée serait détruite, bien qu’ils n’aient pas fourni de détails sur l’identité des acteurs malveillants.
La direction de l’université a déclaré que l’attaque était isolée aux systèmes de la division d’épidémiologie et n’avait pas affecté les essais cliniques, les soins aux patients ou d’autres divisions du centre de cancérologie. Le président de l’université a annoncé des plans pour une révision complète des systèmes informatiques sur tous les campus afin d’identifier et de renforcer les contrôles de sécurité dans les environnements de recherche et administratifs.
L’impact de cette violation concerne principalement des données de recherche historiques contenant des identifiants personnels sensibles. Les enquêtes se poursuivent pour savoir si d’autres types d’informations ont été consultés ou exfiltrés, l’université affirmant qu’elle informera séparément les individus si des données compromettantes supplémentaires sont identifiées.
En réponse à l’incident, l’université a mis en place des mesures telles que le renforcement du réseau, l’élargissement de la protection des terminaux avec une surveillance continue, la migration des serveurs de recherche sensibles vers des centres de données gérés, des contrôles d’accès plus stricts pour les données sensibles et une formation renforcée à la cybersécurité pour le personnel. Des tiers indépendants sont également mobilisés pour évaluer et valider les contrôles de sécurité du Centre de cancérologie.
Les responsables universitaires ont encouragé les personnes potentiellement concernées à utiliser les services de surveillance du crédit et de protection d’identité proposés et à rester informés via les canaux officiels de communication universitaires et le site dédié aux ressources liées à la cyberattaque.