Nach Darstellung der Universität betrifft der Vorfall ein einzelnes Forschungsprojekt am UH Cancer Center und blieb auf die Systeme der Epidemiologie-Abteilung beschränkt. In einem Bericht an die Legislative des Bundesstaates im Dezember hatte die Universität erklärt, dass der klinische Betrieb und die Patientenversorgung nicht beeinträchtigt waren.
Die Größenordnung verteilt sich nach Angaben der Universität auf zwei Gruppen: “Bei den MEC-Studienteilnehmern sind potenziell insgesamt 87.493 Personen betroffen. Die Zahl der zusätzlichen Personen, deren persönliche Daten in den historischen Führerschein- und Wählerregistrierungsunterlagen mit Sozialversicherungsnummern enthalten sein können, beläuft sich auf rund 1,15 Millionen”, hieß es in einer am Freitag veröffentlichten Mitteilung.
Zu den kompromittierten Dokumenten gehören laut Universität zwei Dateien mit Namen und Sozialversicherungsnummern (SSN) aus einem Dokument des State Department of Transportation (erfasst im Jahr 2000) sowie aus Wählerregistrierungsdaten (von 1998). Hinzu kommen Dateien mit Sozialversicherungs- und Führerscheinnummern sowie Gesundheitsdaten aus der MEC Study (1993 bis 1996) und drei weiteren Ernährungs- und Krebsstudien. Zwei weitere Dateien aus dem Jahr 1999 und der Mitte der 2000er-Jahre enthielten Namen und SSN, die für epidemiologische Forschung aus öffentlichen Gesundheitsregistern erhoben worden waren.
Eine Folgeuntersuchung ergab, dass die Angreifer auf Forschungsdateien des UH Cancer Center zugriffen und dabei möglicherweise Sozialversicherungs- und Führerscheinnummern entwendeten. Die Verschlüsselung der betroffenen Systeme richtete erheblichen Schaden an und verzögerte die Wiederherstellungsarbeiten sowie die Aufklärung des Vorfalls.
Bei der ersten Bestätigung des Angriffs gab die Universität an, an die Angreifer gezahlt zu haben, um ein Entschlüsselungswerkzeug und die “sichere Vernichtung der von den Tätern illegal erlangten Informationen” zu erhalten und so die Betroffenen zu schützen.
“Das UH Cancer Center bedauert zutiefst, dass dieser Vorfall geschehen ist und dass so viele Menschen betroffen sind”, erklärte Naoto T. Ueno, Direktor des UH Cancer Center. Man nehme die Angelegenheit äußerst ernst und sei Transparenz, Verantwortlichkeit und einem besseren Schutz der anvertrauten Forschungsdaten verpflichtet.
Es ist nicht der erste derartige Fall innerhalb des UH-Systems: Im Juli 2023 hatte das zur University of Hawaii gehörende Hawaiʻi Community College bestätigt, an eine Ransomware-Bande gezahlt zu haben, um die Veröffentlichung von Daten rund 28.000 Personen zu verhindern.
