De epidemiologieafdeling van het University of Hawaiʻi Cancer Center bevestigde dat een ransomware-aanval die in augustus 2025 werd ontdekt, mogelijk persoonlijke informatie van bijna 1,2 miljoen mensen heeft blootgelegd, volgens officiële kennisgevingen van de instelling en rapportages over de datalek. De cyberaanval was gericht op servers met epidemiologische onderzoeksgegevens, wat leidde tot de versleuteling en waarschijnlijk exfiltratie van databestanden met burgerservicenummers, rijbewijsgegevens en kiezersregistratiegegevens. Onderzoekers zeiden dat het incident geen invloed had op de klinische operaties, patiëntenzorgsystemen of studentendossiers van de Universiteit van Hawaiʻi.
De inbraak kwam voor het eerst aan het licht op 31 augustus 2025, toen het IT-personeel van de universiteit ongeautoriseerde activiteit ontdekte op onderzoeksservers die werden gebruikt door de epidemiologieafdeling van het Cancer Center. De afdeling ondersteunt langlopende studies naar kankerrisico en ziektepatronen, waaronder de Multiethnic Cohort (MEC) Study die in 1993 werd opgericht. De MEC-studie rekruteerde deelnemers uit Hawaï en Los Angeles om kankerrisico’s in diverse populaties te onderzoeken, en historische gegevens die eraan gekoppeld waren, behoorden tot de gegevens die tijdens de aanval werden geraadpleegd.
Een voorlopige beoordeling door de universiteit toonde aan dat dossiers gerelateerd aan de MEC-studie namen en sofinummers van deelnemers bevatten. De inbreuk betrof ook historische rijbewijsgegevens die in 2000 waren verzameld door het Hawaiʻi State Department of Transportation en kiezersregistratiegegevens in Honolulu uit 1998, die beide burgerservicenummers als identificatie gebruikten op het moment van verzameling. De combinatie van deze bronnen vergrootte het aantal mogelijk getroffen personen buiten de deelnemers aan de MEC-studie.
In een kennisgeving van februari zeiden functionarissen dat brieven met diensten voor kredietmonitoring en identiteitsbescherming werden verzonden naar ongeveer 87.493 personen die deelnamen aan de MEC-studie en wier contactgegevens werden bevestigd. De universiteit zei ook contactgegevens te hebben gevonden van ongeveer 900.000 andere mensen van wie de informatie mogelijk in de gecompromitteerde historische documenten is opgenomen. De kennisgeving van de inbreuk gaat verder via e-mail en een speciale informatiewebsite voor mogelijk getroffenen door.
De aanvallers versleutelden de gecompromitteerde systemen, wat de herstelwerkzaamheden vertraagde en het moeilijk maakte om direct de volledige omvang van het lek te beoordelen. De universiteit schakelde externe cybersecurity-experts in en meldde het incident bij de politie als onderdeel van haar reactie. Ten tijde van de aanval verkregen functionarissen een decryptietool en zeiden ze garanties te hebben verkregen dat gestolen informatie vernietigd zou worden, hoewel ze geen details hebben verstrekt over de identiteit van de dreigingsactoren.
De universiteitsleiding zei dat de aanval beperkt was tot de systemen van de Epidemiologieafdeling en geen invloed had op klinische proeven, patiëntenzorg of andere afdelingen van het Kankercentrum. De president van de universiteit kondigde plannen aan voor een uitgebreide herziening van informatietechnologiesystemen op alle campussen om beveiligingscontroles in onderzoeks- en administratieve omgevingen te identificeren en te versterken.
De impact van het datalek heeft voornamelijk betrekking op historische onderzoeksgegevens die gevoelige persoonlijke identificatiegegevens bevatten. Onderzoeken naar de vraag of andere soorten informatie zijn benaderd of geëxfiltreerd zijn gaande door, waarbij de universiteit aangeeft individuen afzonderlijk te zullen informeren als er aanvullende gecompromitteerde gegevens worden vastgesteld.
Als reactie op het incident heeft de universiteit maatregelen ingevoerd zoals netwerkversterking, uitgebreide endpointbescherming met continue monitoring, migratie van gevoelige onderzoeksservers naar beheerde datacenters, strengere toegangscontroles voor gevoelige gegevens en verbeterde cybersecuritytraining voor personeel. Onafhankelijke derden worden ook ingeschakeld om de beveiligingsmaatregelen van het Kankercentrum te beoordelen en te valideren.
Universiteitsfunctionarissen hebben degenen die mogelijk getroffen zijn aangemoedigd om gebruik te maken van de aangeboden diensten voor kredietmonitoring en identiteitsbescherming en om op de hoogte te blijven via officiële communicatiekanalen van de universiteit en de speciale website voor de cyberaanval.