Centers Laboratory, firmierend als Centers Lab NJ LLC, hat einen Datenschutzvorfall an die US-Behörden gemeldet. Das in New Jersey ansässige Unternehmen bietet Test- und Labordienstleistungen für Organisationen im Gesundheitswesen an. Laut der auf der Unternehmenswebsite veröffentlichten Benachrichtigung entdeckte Centers Laboratory im August 2025 ein Eindringen in seine IT-Umgebung.

Die anschließenden Untersuchungen ergaben, dass Bedrohungsakteure zwischen dem 9. und 14. August „begrenzten Zugriff“ auf Systeme von Centers Laboratory hatten. In diesem Zeitraum wurden personenbezogene Daten und geschützte Gesundheitsinformationen abgezogen. Betroffen sind nach Unternehmensangaben Namen, Geburtsdaten, Sozialversicherungsnummern, Führerschein- oder staatliche Identifikationsnummern, Passnummern sowie Krankenversicherungs- und medizinische Informationen.

Wie der vom Department of Health and Human Services geführte Vorfalls-Tracker für Datenschutzverletzungen im Gesundheitswesen in der vergangenen Woche zeigte, betrifft die Datenpanne 542.377 Personen. Damit liegt die Zahl der Betroffenen bei mehr als 540.000.

Ziel des Angriffs war Centers Lab nach Angaben des Berichts durch die Cybercrime-Gruppe WorldLeaks. Die Gruppe setzte die Organisation im Oktober 2025 auf ihre Website. Dort veröffentlichten die Angreifer nach eigenen Angaben mehr als 1,6 Millionen Dateien mit einem Gesamtvolumen von 720 GB, die aus den Systemen von Centers Lab stammen sollen.

WorldLeaks war zuvor dadurch aufgefallen, große Unternehmen wie Nike und Dell ins Visier zu nehmen. Die Gruppe entstand 2025 nach der Abschaltung der Ransomware-Gruppe Hunters International. Nach dem Übergang zu WorldLeaks verzichteten die Kriminellen auf Malware zur Dateiverschlüsselung und konzentrierten sich stattdessen auf Datendiebstahl und Erpressung.

Zum Zeitpunkt des Berichts waren auf der Website von WorldLeaks mehr als 170 Organisationen gelistet. Im Fall von Centers Laboratory steht damit nicht eine Verschlüsselung von Dateien im Vordergrund, sondern der Abfluss sensibler personenbezogener und medizinischer Daten, den das Unternehmen inzwischen offiziell offengelegt hat.