Radiology Associates of Richmond gibt in seiner Vorfallsmeldung an, dass der Angriff auf interne Systeme um den 25. Juli 2025 stattfand. Wann die Kompromittierung bemerkt wurde, teilte die Organisation nicht mit. Sie betont jedoch, externe Cybersicherheitsfachleute hinzugezogen zu haben, um den Vorfall einzudämmen und seinen Umfang zu klären.
Erst nach einer umfangreichen forensischen Analyse und einer manuellen Durchsicht der Dokumente sei die Untersuchung um den 6. April 2026 zu dem Ergebnis gekommen, dass Dateien mit geschützten Gesundheitsdaten einer begrenzten Zahl von Personen unbefugt erlangt wurden. Den Versand der Benachrichtigungsschreiben begann RAR am 21. Mai. Aus der Meldung an die Generalstaatsanwaltschaft von Maine geht hervor, dass 266.183 Personen solche Schreiben erhalten.
Welche Daten konkret abgeflossen sind, lässt sich den Unterlagen nicht abschließend entnehmen. Die Vorfallsmeldung von RAR sowie die geschwärzten Musterschreiben, die in mehreren Bundesstaaten bei Behörden eingereicht wurden, deuten darauf hin, dass Namen, Sozialversicherungsnummern und weitere Informationen kompromittiert worden sein könnten. Eine Auflistung auf der Website der Generalstaatsanwaltschaft von Texas nennt darüber hinaus staatlich ausgestellte Ausweisnummern, Finanzdaten einschließlich Kredit- oder Debitkartennummern sowie medizinische Angaben und Daten zur Krankenversicherung als wahrscheinlich entwendet.
Nach Angaben von RAR erhielten die benachrichtigten Personen Empfehlungen zum Schutz ihrer Daten. Betroffenen, deren Sozialversicherungsnummern in den kompromittierten Dateien enthalten waren, bot die Organisation eine kostenlose Kreditüberwachung an.
Es ist nicht der erste Vorfall dieser Art bei dem in Richmond, Virginia, ansässigen Anbieter von medizinischer Bildgebung. Im Juli 2025 hatte RAR dem US-Gesundheitsministerium (HHS) gemeldet, dass bei einem Datenleck im April 2024 die persönlichen Daten von 1,4 Millionen Menschen gestohlen worden waren.
