A violação da Conduent tornou-se silenciosamente um dos maiores incidentes envolvendo dados de terceiros na história dos Estados Unidos, e a verdadeira questão agora é quantos programas e empregadores diferentes foram afetados, mesmo para pessoas que nunca ouviram falar da Conduent.
Quando cobrimos este incidente pela primeira vez, os registros públicos sugeriam cerca de 10,5 milhões de indivíduos afetados, concentrados principalmente em Oregon e em alguns outros estados. Notificações estaduais recentes estimam o total em mais de 25 milhões de pessoas em todos os Estados Unidos, com o Texas sozinho saltando de uma estimativa inicial de cerca de 4 milhões para 15,4 milhões de residentes afetados, e Oregon mantendo-se em cerca de 10,5 milhões.
Isso torna este um dos maiores casos de violação de dados relacionados à saúde já registrados, com os invasores passando cerca de três meses no ambiente da Conduent e extraindo cerca de 8 TB de dados.
Como tantas pessoas que nunca ouviram falar da Conduent são afetadas?
Em 2019, a Conduent afirmou que seus sistemas ofereciam suporte a serviços para mais de 100 milhões de pessoas em todo o país e atendiam à maioria das empresas da Fortune 100, além de mais de 500 entidades governamentais. Isso mostra o quão amplo é o raio de ação potencial, mesmo que nem todos esses registros tenham sido afetados neste incidente.
A Conduent está por trás de grande parte dos serviços públicos e do trabalho administrativo das empresas dos Estados Unidos, o que explica por que a lista de vítimas parece tão desconexa. Suas plataformas lidam com:
- Programas de benefícios estaduais, como Medicaid, SNAP (Programa de Assistência Nutricional Suplementar) e outros pagamentos governamentais em mais de 30 estados.
- Sala de correspondência, impressão e processamento de pagamentos para escritórios de benefícios estaduais e programas de saúde, incluindo grandes seguradoras de saúde, como os planos Blue Cross Blue Shield.
- Serviços corporativos para grandes empregadores, incluindo pelo menos um grande fabricante automotivo; quase 17.000 funcionários do Grupo Volvo estão confirmados entre aqueles cujos dados foram expostos.
Quem roubou o quê?
O ataque cibernético foi posteriormente reivindicado pelo grupo de ransomware SafePay.
Os dados roubados vão muito além dos detalhes de contato. As cartas de notificação e os registros dos órgãos reguladores descrevem:
- Nomes completos, endereços postais e datas de nascimento.
- Números de segurança social e outros identificadores governamentais.
- Informações médicas, detalhes do seguro saúde e dados relacionados a pedidos de reembolso.
Como a Conduent processa benefícios e dados de RH em nome de agências e empregadores, a maioria das pessoas afetadas nunca interagiu diretamente com a Conduent e pode nem mesmo reconhecer o nome no envelope. Se você recebeu benefícios do SNAP, cobertura do Medicaid, outros planos de saúde administrados pelo estado ou trabalhou para uma organização que terceiriza a administração de RH ou sinistros para a Conduent (ou um de seus clientes), seus dados podem ter passado pelos sistemas da empresa, mesmo que sua “relação com o cliente” fosse com uma agência estadual, seguradora ou empregador.
Por que isso é pior do que parecia à primeira vista
Há três razões pelas quais esta história subsequente é mais séria do que a original:
- Mais pessoas estão envolvidas: os números brutos subiram de 10 milhões para 25 milhões à medida que mais estados e clientes corporativos divulgaram seu envolvimento, mostrando como as violações por terceiros podem ser opacas no início.
- Identificadores permanentes: os números de segurança social , juntamente com dados médicos e de seguros, permitem o roubo de identidade prolongado, a fraude médica e o phishing altamente direcionado, que podem assombrar as vítimas durante anos.
- Ponto cego de terceiros: para muitas entidades cobertas, “a violação” nunca aparecerá em seus próprios registros porque a comprometimento ocorreu no ambiente de um fornecedor do qual dependem, mas que não controlam.
Portanto, quando uma carta inesperada da Conduent chega, não se trata de um erro. É um lembrete de que seus dados podem estar em risco longe das organizações com as quais você pensava estar lidando — e que a exposição real dessa violação vai muito além dos números em qualquer registro estadual.
Dependendo de quais dos seus dados foram comprometidos, você poderá receber uma carta ligeiramente diferente. Se receber uma, leia nosso guia sobre o que fazer após uma violação de dados para entender os próximos passos.
Não nos limitamos a relatar ameaças — ajudamos a proteger toda a sua identidade digital.
Os riscos de segurança cibernética nunca devem ir além das manchetes. Proteja suas informações pessoais e as de sua família usando proteção de identidade.
