A Divisão de Epidemiologia do Centro de Câncer da Universidade do Havaí confirmou que um ataque de ransomware descoberto em agosto de 2025 potencialmente expôs informações pessoais de quase 1,2 milhão de pessoas, segundo avisos oficiais da instituição e relatos sobre a violação. O ataque cibernético teve como alvo servidores contendo dados de pesquisa epidemiológica, levando à criptografia e provável exfiltração de arquivos de dados que incluíam números do Seguro Social, informações de carteira de motorista e registros de registro de eleitores. Os investigadores disseram que o incidente não afetou as operações clínicas, os sistemas de atendimento ao paciente ou os registros estudantis da Universidade do Havaí.
A violação veio à tona pela primeira vez em 31 de agosto de 2025, quando a equipe de TI da universidade detectou atividade não autorizada em servidores de pesquisa usados pela Divisão de Epidemiologia do Centro de Câncer. A divisão apoia estudos de longa duração sobre risco de câncer e padrões de doenças, incluindo o Estudo da Coorte Multiétnica (MEC) estabelecido em 1993. O Estudo MEC recrutou participantes do Havaí e de Los Angeles para examinar os riscos de câncer em populações diversas, e dados históricos vinculados a isso estavam entre os registros acessados durante o ataque.
A avaliação preliminar da universidade constatou que arquivos relacionados ao Estudo MEC continham nomes e números de Seguridade Social dos participantes. A violação também envolveu registros históricos de carteira de motorista coletados em 2000 pelo Departamento de Transportes do Estado do Havaí e dados de registro de eleitores de Honolulu de 1998, ambos usando números de Previdência Social como identificadores na época da coleta. A combinação dessas fontes ampliou o número de indivíduos potencialmente impactados além dos participantes do Estudo MEC.
Em um aviso de fevereiro, autoridades informaram que cartas oferecendo serviços de monitoramento de crédito e proteção de identidade foram enviadas para cerca de 87.493 pessoas que participaram do estudo da MEC e cujas informações de contato foram confirmadas. A universidade também afirmou ter localizado os dados de contato de cerca de 900.000 outras pessoas cujas informações poderiam ter sido incluídas nos registros históricos comprometidos. O aviso da violação continua por e-mail e um site dedicado à informação para os potencialmente afetados.
Os atacantes criptografaram os sistemas comprometidos, o que atrasou os esforços de restauração e dificultou a avaliação imediata da extensão total da violação. A universidade contratou especialistas terceirizados em cibersegurança e relatou o incidente às autoridades como parte de sua resposta. No momento do ataque, as autoridades obtiveram uma ferramenta de descriptografia e disseram que garantiram que qualquer informação roubada seria destruída, embora não tenham fornecido detalhes sobre a identidade dos agentes ameaçadores.
A liderança da universidade afirmou que o ataque foi limitado aos sistemas da Divisão de Epidemiologia e não afetou os ensaios clínicos, o cuidado ao paciente ou outras divisões do Centro de Câncer. O presidente da universidade anunciou planos para uma revisão abrangente dos sistemas de tecnologia da informação em todos os campi, a fim de identificar e fortalecer os controles de segurança em ambientes de pesquisa e administrativos.
O impacto da violação está relacionado principalmente a dados de pesquisa histórica que continham identificadores pessoais sensíveis. Investigações sobre se outros tipos de informações foram acessadas ou exfiltradas continuam, com a universidade afirmando que notificará os indivíduos separadamente caso mais dados comprometidos sejam identificados.
Em resposta ao incidente, a universidade implementou medidas incluindo reforço da rede, ampliação da proteção de endpoints com monitoramento contínuo, migração de servidores de pesquisa sensíveis para data centers gerenciados, controles de acesso mais rigorosos para dados sensíveis e treinamento aprimorado em cibersegurança para a equipe. Terceiros independentes também são contratados para avaliar e validar os controles de segurança do Centro de Câncer.
Autoridades da universidade incentivaram os potencialmente afetados a utilizar os serviços de monitoramento de crédito e proteção de identidade oferecidos e a se manterem informados por meio dos canais oficiais de comunicação da universidade e do site de recursos dedicado ao ciberataque.