Nieuws, Privacy

Het Conduent-datalek: van 10 miljoen naar 25 miljoen (en nog steeds stijgende)

door Pieter Arntz | 26 februari 2026
Conduent en logo's van belangrijke klanten

Het Conduent-lek is stilletjes uitgegroeid tot een van de grootste incidenten met gegevens van derden in de geschiedenis van de VS, en het echte verhaal is nu hoeveel verschillende programma's en werkgevers hierdoor worden getroffen, zelfs voor mensen die nog nooit van Conduent hebben gehoord.

Toen we voor het eerst over dit incident berichtten, suggereerden openbare documenten dat er ongeveer 10,5 miljoen mensen waren getroffen, voornamelijk in Oregon en enkele andere staten. Volgens recente meldingen van de staat zou het totaal aantal getroffen mensen in de VS nu meer dan 25 miljoen bedragen, waarbij alleen al in Texas het aantal getroffen inwoners is gestegen van een eerdere schatting van ongeveer 4 miljoen naar 15,4 miljoen, en Oregon op ongeveer 10,5 miljoen blijft staan.

Dit maakt het een van de grootste inbreuken op het gebied van gezondheidszorg ooit, waarbij de aanvallers naar verluidt ongeveer drie maanden in de omgeving van Conduent hebben doorgebracht en ongeveer 8 TB aan gegevens hebben buitgemaakt.

Hoe kunnen zoveel mensen worden getroffen die nog nooit van Conduent hebben gehoord?

In 2019 verklaarde Conduent dat zijn systemen diensten ondersteunden voor meer dan 100 miljoen mensen in het hele land en dat het een meerderheid van de Fortune 100-bedrijven en meer dan 500 overheidsinstanties bediende. Dat toont aan hoe groot de potentiële impact is, ook al zijn niet al die gegevens bij dit incident getroffen.

Conduent zit achter de schermen van een groot deel van de Amerikaanse openbare diensten en backoffice-werkzaamheden van bedrijven, wat verklaart waarom de lijst met slachtoffers zo onsamenhangend lijkt. De platforms van Conduent verwerken:

  • Overheidsuitkeringen zoals Medicaid, SNAP (Supplemental Nutrition Assistance Program) en andere overheidsuitkeringen in meer dan 30 staten.
  • Postkamer, drukwerk en betalingsverwerking voor instanties voor sociale uitkeringen en gezondheidszorgprogramma's, waaronder grote zorgverzekeraars zoals Blue Cross Blue Shield.
  • Zakelijke diensten voor grote werkgevers, waaronder ten minste één grote autofabrikant; bijna 17.000 werknemers van de Volvo Group behoren tot degenen van wie de gegevens zijn blootgesteld.

Wie heeft wat gestolen?

De cyberaanval werd later opgeëist door de SafePay-ransomwarebende.

SafePay claimt inbreuk door Conduent
Afbeelding met dank aan Comparitech

De gestolen gegevens gaan veel verder dan alleen contactgegevens. In kennisgevingsbrieven en documenten die bij toezichthouders zijn ingediend, wordt het volgende beschreven:

  • Volledige wettelijke namen, postadressen en geboortedata.
  • Socialezekerheidsnummers en andere identificatienummers van de overheid.
  • Medische informatie, gegevens over ziektekostenverzekeringen en gerelateerde claimgegevens.

Omdat Conduent namens instanties en werkgevers uitkeringen en HR-gegevens verwerkt, hebben de meeste betrokkenen nooit rechtstreeks contact gehad met Conduent en herkennen ze de naam op de envelop misschien niet eens. Als u SNAP-uitkeringen, Medicaid-dekking of andere door de staat beheerde gezondheidszorg hebt ontvangen, of als u voor een organisatie hebt gewerkt die HR- of claimbeheer uitbesteedt aan Conduent (of een van haar klanten), is uw gegevens mogelijk door haar systemen gestroomd, ook al had u een "klantrelatie" met een overheidsinstantie, verzekeraar of werkgever.

Waarom dit erger is dan het op het eerste gezicht leek

Er zijn drie redenen waarom dit vervolgverhaal ernstiger is dan het origineel:

  • Er zijn meer mensen bij betrokken: het aantal slachtoffers steeg van 10 miljoen naar 25 miljoen toen meer staten en zakelijke klanten hun betrokkenheid bekendmaakten, wat aantoont hoe ondoorzichtig inbreuken door derden in het begin kunnen zijn.
  • Permanente identificatiegegevens: SSN's plus medische en verzekeringsgegevens maken langdurige identiteitsdiefstal, medische fraude en zeer gerichte phishing mogelijk, waar slachtoffers jarenlang last van kunnen hebben.
  • Blinde vlek van derden: Voor veel betrokken entiteiten zal 'de inbreuk' nooit in hun eigen logboeken verschijnen, omdat het compromis plaatsvond in de omgeving van een leverancier waarop zij vertrouwen, maar waarover zij geen controle hebben.

Dus wanneer u een onverwachte brief van Conduent ontvangt, is dat geen vergissing. Het is een herinnering dat uw gegevens ver buiten de organisaties waarmee u dacht te maken te hebben, in gevaar kunnen komen – en dat de werkelijke blootstelling als gevolg van dit lek veel verder reikt dan de cijfers in een enkele staatsregistratie.

Conduent-brief inzake melding van inbreuk
Conduent-brief inzake melding van inbreuk

Afhankelijk van welke gegevens van u zijn gecompromitteerd, kunt u een iets andere brief ontvangen. Als u een brief ontvangt, kunt u onze gids lezen over wat u moet doen na een datalek om te begrijpen wat uw volgende stappen zijn.

We rapporteren niet alleen over bedreigingen, we helpen ook uw volledige digitale identiteit te beveiligen.

Cyberbeveiligingsrisico's mogen nooit verder reiken dan een krantenkop. Bescherm uw persoonlijke gegevens en die van uw gezin door identiteitsbescherming te gebruiken.


Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Nieuws
Een groep mensen met verschillende zonnebrillen die naar de lucht kijken en in de camera kijken.

Ontwikkelaar maakt app om slimme brillen in de buurt te detecteren

Februari 25, 2026

Een ontwikkelaar heeft een Android gemaakt die naar slimme brillen in de buurt zoekt. Het is niet perfect, maar het kan mensen in bepaalde omstandigheden helpen.

Nieuws
leeftijdscontrole stempel

Reddit en pornosites beboet door Britse toezichthouders vanwege veiligheid en privacy van kinderen

Februari 24, 2026

Ofcom en het Information Commissioner's Office hebben respectievelijk een Amerikaans pornobedrijf en Reddit beboet omdat ze kinderen online niet voldoende beschermden.

Familie en ouderschap
Roblox-logo

Roblox geeft roofdieren "krachtige tools" om kinderen te benaderen, zegt LA County

Februari 24, 2026

Los Angeles County heeft het online gamingplatform Roblox aangeklaagd wegens het vermeende verzuim om kinderen tegen gevaar te beschermen.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting