A University of Hawaii informou que o Cancer Center foi alvo de uma violação que remonta a agosto de 2025, com roubo de dados de participantes de estudos, incluindo documentos antigos que contêm números de Social Security.
Descoberta e escopo conhecido
De acordo com a reportagem, o incidente ocorreu em agosto de 2025 e envolveu acesso indevido a dados de participantes de pesquisas conduzidas pelo Cancer Center. Entre os arquivos exfiltrados estariam documentos datados da década de 1990, com Social Security numbers (SSNs).
Tipos de dados afetados
- Dados de participantes de estudos clínicos/pesquisas, sem detalhamento completo na fonte.
- Documentos históricos (anos 1990) contendo Social Security numbers.
A matéria não fornece lista completa de campos comprometidos (por exemplo: nomes, datas de nascimento, diagnósticos, resultados de pesquisas ou informações financeiras), nem quantifica o número total de indivíduos impactados.
Evidências e investigação
O comunicado indica que um grupo de ransomware obteve acesso e levou dados, mas a reportagem não especifica o grupo envolvido, exigência de resgate, detalhes sobre a técnica de intrusão, ou se houve publicação/uso dos dados em fóruns/dark web. Também não há menção explícita a notificações a agências reguladoras ou a existência de investigação criminal em andamento, além do comunicado da universidade.
Implicações para privacidade e conformidade
Como os registros incluem SSNs, o incidente tem caráter sensível em termos de privacidade. Para instituições de pesquisa vinculadas a dados pessoais, potenciais consequências envolvem notificações aos afetados, avaliação de impactação de privacidade, e cumprimento de requisitos regulatórios (nos EUA, por exemplo, leis estaduais e federais aplicáveis a dados pessoais e de saúde). A cobertura não detalha medidas tomadas pela universidade para mitigar riscos ou ofertar serviços de proteção a vítimas.
O que não foi divulgado
Faltam: estimativa de número de afetados, identificação do ator da ameaça, vetores de entrada, se houve comprometimento de sistemas laboratoriais ou redes clínicas, e quais controles foram ativados após a descoberta. Também não foi informada a extensão de perda de propriedade intelectual ou de dados de pesquisa que possam impactar atividades científicas.
Próximos passos
A reportagem indica que a universidade comunicou o incidente publicamente; para entender o alcance e as repercussões será necessário aguardar anúncios oficiais com inventário de dados comprometidos, relatórios de resposta a incidentes e eventuais comunicações a reguladores ou agências de proteção de dados competentes.