UK Biobank, en av världens mest omfattande lagringsplatser för hälsoinformation, innehar medicinska journaler för 500 000 brittiska volontärer som var mellan 40 och 69 år när de gick med mellan 2006 och 2010, enligt The Guardians utredning. Databasen, som grundades 2003 av hälsodepartementet och medicinska forskningsorganisationer, har citerats i över 18 000 vetenskapliga artiklar med peer review, rapporterade utredningen. I slutet av 2024 utökade regeringen Biobanks tillgång till volontärernas husläkarjournaler, noterade utredningen.
The Guardians utredning fann att forskare som godkänts för att få tillgång till Biobanks känsliga data ibland har varit slarviga med säkerheten. Fram till slutet av 2024 var forskare fria att ladda ner data direkt till sina egna datorsystem, och data hade oavsiktligt publicerats online av forskare som laddade upp kod till GitHub, fann utredningen. En datamängd som The Guardian hittade innehöll miljontals sjukhusdiagnoser och tillhörande datum för över 400 000 deltagare. Med samtycke från en Biobank-volontär kunde The Guardian identifiera omfattande sjukhusdiagnosregister för volontären med endast månad och födelseår samt detaljer om en större operation. En dataexpert sade till The Guardian att problemets omfattning och ihållande karaktär var 'chockerande'. De exponerade filerna innehåller inte namn eller adresser, enligt flera rapporter.
Välgörenhetsorganisationen UK Biobank informerade regeringen om att de hade identifierat att deras data hade annonserats till salu av flera säljare på Alibabas e-handelsplattformar i Kina. Biobank berättade för oss att i tre listningar som såg ut att sälja... Biobank-deltagardata hade identifierats. Åtminstone en av dessa tre datamängder verkar innehålla data från alla 500 000 UK Biobank-volontärer.
UK Biobank avfärdade farhågorna och sade att inga identifierande uppgifter som namn och adresser lämnades till forskare. UK Biobanks vd Sir Rory Collins sade att de aldrig sett några bevis för att en UK Biobank-deltagare har identifierats på nytt av andra. UK Biobank förbjuder forskare att dela data utanför sina system och har infört ytterligare utbildning. Mellan juli och december 2025 utfärdade UK Biobank 80 juridiska meddelanden till GitHub för att ta bort data.
Teknikminister Ian Murray bekräftade att uppgifterna listades till salu på Alibaba och kallade intrånget för ett 'oacceptabelt missbruk' av data. Välgörenhetsorganisationen som driver Biobank informerade regeringen om dataintrånget på måndagen. Informationen innehöll inte namn, adresser, kontaktuppgifter eller telefonnummer och hade lagligt laddats ner av tre forskningsinstitutioner i Kina, vilka har fått sin åtkomst återkallad. Inga köp gjordes från de tre listningarna på Alibaba, och listningarna har tagits bort med den kinesiska regeringens samarbete. Åtminstone en av de tre datamängderna verkade innehålla data från alla 500 000 UK Biobank-volontärer. Uppgifterna kan omfatta kön, ålder, månad och födelseår, socioekonomisk status, livsstilsvanor och mätningar från biologiska prover.
UK Biobanks vd Sir Rory Collins sade att välgörenhetsorganisationen tillfälligt stängt åtkomsten till forskningsplattformen. Han bad deltagarna om ursäkt och sade att ytterligare säkerhetsåtgärder kommer att införas. Ian Murray sade att han inte kunde ge en fullständig garanti för att ingen kunde identifieras. Den fullständiga tidslinjen för Alibaba-listningarna och när de exakt togs bort är fortfarande oklar, liksom hur de tre kinesiska forskningsinstitutionerna fick tag i uppgifterna som senare listades till salu. Det är också okänt hur många totala dataexponeringar som har skett via GitHub och andra plattformar, och vilka specifika säkerhetsåtgärder UK Biobank kommer att införa för att förhindra framtida intrång.