Ein Ransomware-Gang hat bei einem Cyberangriff auf die Epidemiology Division des University of Hawaii Cancer Center im August 2025 Daten von etwa 1,2 Millionen Personen erbeutet, darunter Sozialversicherungsnummern und Führerscheindaten.
Die University of Hawaii hat bestätigt, dass eine Ransomware-Bande nach einem Einbruch in die Epidemiology Division ihres Cancer Center im August 2025 persönliche Daten von fast 1,2 Millionen Personen gestohlen hat.
Das 1907 gegründete University of Hawaii System betreibt drei Universitäten und sieben Community Colleges sowie mehrere Forschungszentren auf den Hawaiischen Inseln. Das Cancer Center beschäftigt über 300 Mitarbeiter und verfügt zusätzlich über 200 angegliederte Mitglieder.
Am 23. Februar verschickten die Verantwortlichen Benachrichtigungen an mehr als 87.000 Teilnehmer der zwischen 1993 und 1996 durchgeführten Multiethnic Cohort Study (MEC). Zusätzlich werden rund 900.000 weitere Personen kontaktiert, deren Kontaktdaten in der Datenbank gefunden wurden.
Die kompromittierten Daten umfassen zwei Dateien mit Namen und Sozialversicherungsnummern aus einem Dokument des State Department of Transportation von 2000 sowie Wählerregistrierungsdaten aus 1998. Weitere betroffene Informationen stammen aus Führerscheindateien und Gesundheitsdaten der MEC-Studie sowie drei zusätzliche Ernährungs- und Krebsstudien. Zwei weitere Dateien aus 1999 und den 2000er Jahren enthalten Sozialversicherungsnummern und Namen aus öffentlichen Gesundheitsregistern für epidemiologische Forschung.
Ein Dezemberbericht der Universität an die Legislatur zeigte, dass der Vorfall isoliert auf ein einzelnes Forschungsprojekt der Epidemiology Division beschränkt war und keine klinischen Operationen oder Patientendaten beeinträchtigte.
Die Untersuchungen ergaben, dass die Angreifer Zugriff auf Forschungsdateien des Cancer Center hatten und persönliche Informationen wie Sozialversicherungsnummern und Führerscheindaten stahlen. Die Cyberkriminellen verschlüsselten außerdem die kompromittierten Systeme, was erhebliche Schäden verursachte und die Wiederherstellungs- und Untersuchungsbemühungen der Universität erheblich verzögerte.
Die Universität gab an, das Lösegeld gezahlt zu haben, um ein Entschlüsselungswerkzeug zu erhalten und die sichere Vernichtung der gestohlenen Informationen zu gewährleisten. Naoto T. Ueno, Direktor des Cancer Center, äußerte sein Bedauern über den Vorfall und betonte die Verpflichtung zu Transparenz und verstärkten Schutzmaßnahmen für die anvertrauten Forschungsdaten.
Dies ist nicht der erste Sicherheitsvorfall bei der University of Hawaii. Im Juli 2023 zahlte das Hawaiʻi Community College ebenfalls ein Lösegeld an eine Ransomware-Gruppe, um die Veröffentlichung von Daten von etwa 28.000 Personen zu verhindern.
Quelle: BleepingComputer