Der Großteil der kompromittierten Daten steht laut University of Hawaiʻi im Zusammenhang mit einer 1993 begonnenen Studie. Im Rahmen dieses Vorhabens wurden zwischen 1993 und 1996 mehr als 215.000 Personen rekrutiert.
Von dem Angriff betroffen waren die Datensätze von 87.493 Studienteilnehmern. Diese umfassen Namen und Sozialversicherungsnummern, bei einem Teil der Teilnehmer zudem forschungs- und gesundheitsbezogene Informationen.
Darüber hinaus wurden nach Angaben der Universität Namen, Führerscheindaten, Sozialversicherungsnummern und Wählerregistrierungsdaten von rund 1,15 Millionen Menschen kompromittiert.
Die Universität betont, dass die Bereiche der klinischen Studien des Krebszentrums, die Patientenversorgung sowie alle übrigen Abteilungen des Zentrums nicht betroffen waren. Auch Studierendendaten der University of Hawaiʻi seien nicht in Mitleidenschaft gezogen worden.
Nach der eigenen Darstellung erschwerte das Ausmaß der Verschlüsselung durch die Angreifer die Wiederherstellung der Systeme erheblich. Die Universität gibt an, mit den Tätern in Kontakt getreten zu sein, ein Entschlüsselungswerkzeug erhalten und die Vernichtung der exfiltrierten Daten sichergestellt zu haben. Details zu einer Lösegeldzahlung nannte sie nicht.
Die Untersuchung weiterer möglicherweise betroffener Informationen dauert nach Angaben der Einrichtung an und wird von Strafverfolgungsbehörden sowie Cybersicherheitsexperten unterstützt. Den Betroffenen stellt die University of Hawaiʻi zwölf Monate lang kostenlose Kreditüberwachung und Dienste zum Schutz vor Identitätsdiebstahl zur Verfügung.
