Notizie, Privacy

La violazione di Conduent: da 10 milioni a 25 milioni (e il conteggio continua)

di Pieter Arntz | 26 febbraio 2026
Loghi di Conduent e dei principali clienti

La violazione dei dati di Conduent è diventata silenziosamente uno dei più grandi incidenti relativi ai dati di terze parti nella storia degli Stati Uniti, e la vera notizia ora è quanti programmi e datori di lavoro diversi ne sono stati coinvolti, anche per persone che non hanno mai sentito parlare di Conduent.

Quando abbiamo riportato per la prima volta questo incidente, i documenti pubblici indicavano circa 10,5 milioni di persone colpite, concentrate principalmente in Oregon e in alcuni altri stati. Secondo le ultime notifiche degli stati, il totale sarebbe salito a oltre 25 milioni di persone in tutti gli Stati Uniti, con il Texas che da una stima iniziale di circa 4 milioni è passato a 15,4 milioni di residenti colpiti, mentre l'Oregon si mantiene intorno ai 10,5 milioni.

Questo lo rende uno dei più grandi casi di violazione dei dati sanitari mai registrati, con gli aggressori che, secondo quanto riferito, hanno trascorso circa tre mesi nell'ambiente di Conduent e sottratto circa 8 TB di dati.

Come mai sono così tante le persone coinvolte che non hanno mai sentito parlare di Conduent?

Nel 2019, Conduent ha dichiarato che i suoi sistemi supportavano servizi per oltre 100 milioni di persone in tutto il paese e servivano la maggior parte delle aziende Fortune 100 oltre a più di 500 enti governativi. Ciò dimostra quanto sia ampio il potenziale raggio d'azione, anche se non tutti questi dati sono stati interessati dall'incidente.

Conduent opera dietro le quinte di gran parte dei servizi pubblici statunitensi e delle attività di back-office delle aziende, il che spiega perché l'elenco delle vittime appaia così disomogeneo. Le sue piattaforme gestiscono:

  • Programmi di assistenza statale quali Medicaid, SNAP (Supplemental Nutrition Assistance Program) e altri sussidi governativi in oltre 30 stati.
  • Servizi di smistamento posta, stampa ed elaborazione dei pagamenti per gli uffici preposti alle prestazioni sociali e ai programmi sanitari, comprese le grandi compagnie assicurative sanitarie come i piani Blue Cross Blue Shield.
  • Servizi aziendali per grandi datori di lavoro, tra cui almeno un grande produttore automobilistico; quasi 17.000 dipendenti del Gruppo Volvo sono stati confermati tra coloro i cui dati sono stati esposti.

Chi ha rubato cosa?

L'attacco informatico è stato successivamente rivendicato dalla banda di ransomware SafePay.

SafePay denuncia una violazione da parte di Conduent
Immagine per gentile concessione di Comparitech

I dati rubati vanno ben oltre i semplici recapiti. Le lettere di notifica e i documenti depositati presso le autorità di regolamentazione descrivono:

  • Nomi completi, indirizzi postali e date di nascita.
  • Numeri di previdenza sociale e altri identificativi governativi.
  • Informazioni mediche, dettagli sull'assicurazione sanitaria e dati relativi alle richieste di rimborso.

Poiché Conduent elabora i dati relativi alle prestazioni e alle risorse umane per conto di agenzie e datori di lavoro, la maggior parte delle persone interessate non ha mai interagito direttamente con Conduent e potrebbe non riconoscere nemmeno il nome riportato sulla busta. Se avete ricevuto prestazioni SNAP, copertura Medicaid, altre prestazioni sanitarie gestite dallo Stato, o avete lavorato per un'organizzazione che affida la gestione delle risorse umane o delle richieste di rimborso a Conduent (o a uno dei suoi clienti), i vostri dati potrebbero essere passati attraverso i suoi sistemi anche se il vostro "rapporto con il cliente" era con un'agenzia statale, un assicuratore o un datore di lavoro.

Perché è peggio di quanto sembrasse inizialmente

Ci sono tre ragioni per cui questo seguito è più grave dell'originale:

  • Il numero delle persone coinvolte è aumentato: i dati grezzi sono passati da 10 milioni a 25 milioni, poiché un numero maggiore di Stati e clienti aziendali ha reso nota la propria partecipazione, dimostrando quanto possano essere opache le violazioni da parte di terzi all'inizio.
  • Identificatori permanenti: i numeri di previdenza sociale (SSN) insieme ai dati medici e assicurativi consentono furti di identità a lungo termine, frodi mediche e phishing altamente mirato che possono perseguitare le vittime per anni.
  • Punto cieco di terze parti: per molte entità interessate, "la violazione" non comparirà mai nei propri registri perché la compromissione è avvenuta nell'ambiente di un fornitore di cui si avvalgono ma che non controllano.

Quindi, quando arriva una lettera inaspettata da Conduent, non si tratta di un errore. È un promemoria del fatto che i tuoi dati possono essere messi a rischio lontano dalle organizzazioni con cui pensavi di avere a che fare e che la reale esposizione derivante da questa violazione va ben oltre i numeri riportati in qualsiasi singolo documento depositato dallo Stato.

Lettera di notifica della violazione da parte di Conduent
Lettera di notifica della violazione da parte di Conduent

A seconda dei dati compromessi, potresti ricevere una lettera leggermente diversa. Se ne ricevi una, puoi leggere la nostra guida su cosa fare dopo una violazione dei dati per capire quali sono i passi successivi da compiere.

Non ci limitiamo a segnalare le minacce: contribuiamo a proteggere la tua identità digitale nella sua interezza.

I rischi legati alla sicurezza informatica non dovrebbero mai andare oltre i titoli dei giornali. Proteggi le tue informazioni personali e quelle della tua famiglia utilizzando la protezione dell'identità.


Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Notizie
Un gruppo di persone che indossano occhiali da sole di vario tipo guardano il cielo e l'obiettivo della fotocamera.

Uno sviluppatore crea un'app per rilevare gli occhiali intelligenti nelle vicinanze

Febbraio 25, 2026

Uno sviluppatore ha creato Android che cerca gli smart glasses nelle vicinanze. Non è perfetta, ma può aiutare le persone in determinate circostanze.

Notizie
timbro di verifica dell'età

Reddit e siti pornografici multati dalle autorità britanniche per la sicurezza e la privacy dei minori

Febbraio 24, 2026

Ofcom e l'Ufficio del Commissario per l'informazione hanno multato rispettivamente una società pornografica statunitense e Reddit per non aver protetto i minori online.

Famiglia e genitorialità
Logo Roblox

Roblox offre ai predatori "strumenti potenti" per prendere di mira i bambini, afferma la contea di Los Angeles

Febbraio 24, 2026

La contea di Los Angeles ha citato in giudizio la piattaforma di giochi online Roblox per la sua presunta incapacità di proteggere i bambini dai pericoli.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe