A violação da Conduent tornou-se silenciosamente um dos maiores incidentes de dados de terceiros na história dos EUA, e a verdadeira história agora é quantos programas e empregadores diferentes estão envolvidos nela, mesmo para pessoas que nunca ouviram falar da Conduent.
Quando cobrimos este incidente pela primeira vez, os registos públicos sugeriam cerca de 10,5 milhões de indivíduos afetados, concentrados principalmente em Oregon e em alguns outros estados. Notificações estaduais recentes estimam o total em mais de 25 milhões de pessoas em todos os EUA, com o Texas sozinho saltando de uma estimativa inicial de cerca de 4 milhões para 15,4 milhões de residentes afetados, e Oregon mantendo-se em cerca de 10,5 milhões.
Isso torna este um dos maiores casos de violação de dados relacionados à saúde já registrados, com os invasores passando cerca de três meses no ambiente da Conduent e extraindo cerca de 8 TB de dados.
Como é que tantas pessoas são afetadas sem nunca terem ouvido falar da Conduent?
Em 2019, a Conduent afirmou que os seus sistemas prestavam serviços a mais de 100 milhões de pessoas em todo o país e atendiam à maioria das empresas da Fortune 100, além de mais de 500 entidades governamentais. Isso mostra o quão amplo é o raio de ação potencial, mesmo que nem todos esses registos tenham sido afetados neste incidente.
A Conduent está por trás de grande parte dos serviços públicos e do trabalho administrativo das empresas dos EUA, o que explica por que a lista de vítimas parece tão desconexa. As suas plataformas lidam com:
- Programas de benefícios estatais, como Medicaid, SNAP (Programa de Assistência Nutricional Suplementar) e outros pagamentos governamentais em mais de 30 estados.
- Sala de correspondência, impressão e processamento de pagamentos para escritórios de benefícios estatais e programas de saúde, incluindo grandes seguradoras de saúde, como os planos Blue Cross Blue Shield.
- Serviços corporativos para grandes empregadores, incluindo pelo menos um grande fabricante automóvel; quase 17 000 funcionários do Grupo Volvo estão confirmados entre aqueles cujos dados foram expostos.
Quem roubou o quê?
O ataque cibernético foi posteriormente reivindicado pelo grupo de ransomware SafePay.
Os dados roubados vão muito além dos detalhes de contacto. As cartas de notificação e os registos regulamentares descrevem:
- Nomes completos, endereços postais e datas de nascimento.
- Números de segurança social e outros identificadores governamentais.
- Informações médicas, detalhes do seguro de saúde e dados relacionados a reclamações.
Como a Conduent processa benefícios e dados de RH em nome de agências e empregadores, a maioria das pessoas afetadas nunca interagiu diretamente com a Conduent e pode nem mesmo reconhecer o nome no envelope. Se recebeu benefícios SNAP, cobertura Medicaid, outros cuidados de saúde administrados pelo estado ou trabalhou para uma organização que terceiriza a administração de RH ou reclamações para a Conduent (ou um de seus clientes), os seus dados podem ter passado pelos sistemas da empresa, mesmo que a sua «relação com o cliente» fosse com uma agência estadual, seguradora ou empregador.
Por que isto é pior do que parecia à primeira vista
Há três razões pelas quais esta história subsequente é mais séria do que a original:
- Mais pessoas estão envolvidas: os números brutos subiram de 10 milhões para 25 milhões à medida que mais estados e clientes corporativos divulgaram o seu envolvimento, mostrando como as violações de terceiros podem ser opacas no início.
- Identificadores permanentes: os números de segurança social , juntamente com dados médicos e de seguros, permitem roubos de identidade prolongados, fraudes médicas e phishing altamente direcionado, que podem assombrar as vítimas durante anos.
- Ponto cego de terceiros: para muitas entidades abrangidas, «a violação» nunca aparecerá nos seus próprios registos porque a compromissão ocorreu no ambiente de um fornecedor do qual dependem, mas que não controlam.
Portanto, quando uma carta inesperada da Conduent chega, não se trata de um erro. É um lembrete de que os seus dados podem estar em risco longe das organizações com as quais pensava estar a lidar — e que a exposição real dessa violação vai muito além dos números em qualquer registro estadual.
Dependendo de quais dos seus dados foram comprometidos, poderá receber uma carta ligeiramente diferente. Se receber uma, pode ler o nosso guia sobre o que fazer após uma violação de dados para entender os próximos passos.
Não nos limitamos a relatar ameaças — ajudamos a proteger toda a sua identidade digital.
Os riscos de cibersegurança nunca devem ir além das manchetes. Proteja as suas informações pessoais e as da sua família usando proteção de identidade.
