Bij een ransomware-aanval op de Amerikaanse stad Colombus zijn de gegevens van een half miljoen inwoners gestolen en uiteindelijk ook op internet gepubliceerd. De ransomware-aanval kwam eerder al in het nieuws omdat de City of Colombus een klokkenluider aanklaagde die bij de aanval gestolen data had gedeeld. De klokkenluider wilde zo naar eigen zeggen laten zien dat de burgemeester niet de waarheid sprak over de impact van de aanval.

Volgens burgemeester Andrew Ginther was er geen risico voor personeel, omdat de gestolen data was versleuteld of gecorrumpeerd geraakt en daar 'onbruikbaar'. Ook zou er veel minder data zijn gestolen dan de aanvallers claimden. Kort na deze uitspraken benaderde beveiligingsonderzoeker David Leroy Ross verschillende nieuwsmedia waarin hij liet zien dat de door de ransomwaregroep gestolen data gewoon intact was en zeer gevoelige informatie over stadsmedewerkers en inwoners bevatte.

De stad klaagde de klokkenluider aan voor vermeende schade door criminele daden, inbreuk op de privacy, nalatigheid en 'civil conversion'. Volgens de aanklacht heeft de klokkenluider door het downloaden van de bestanden interactie met de ransomwaregroep gehad en vereist dit speciale expertise en tools. Dezelfde dag van de aanklacht kreeg de klokkenluider ook een 'temporary restraining order' door de rechter opgelegd. De onderzoeker mag geen bestanden meer downloaden en verspreiden die de ransomwaregroep op de eigen website aanbiedt.

In een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine laat het stadsbestuur weten dat gegevens van inwoners zijn gestolen en gepubliceerd op internet. Het gaat om naam, geboortedatum, rekeninggegevens, kopieën van rijbewijzen, social-securitynummers en 'andere identificerende informatie'. Het zou in totaal om vijfhonderdduizend mensen gaan. Hoe de aanval mogelijk was laat het stadsbestuur niet weten.