2024年に発生したConduent Business Servicesのデータ侵害により、1,050万人以上が影響を受け、同社は影響を受けた顧客に通知を発行しています。
同社はこのデータインシデントについて、複数の州の司法長官事務所に届け出を行い、複数の州にわたる広範な影響と深刻さを強調しています。
Conduentがオレゴン州司法省に提出した書類によると、1,050万人以上が影響を受けており、顧客への通知は2025年10月に送付されました。
報道によれば、このデータ侵害はテキサス州で400万人以上、ワシントン州で76,000人、メイン州で数百人に影響を及ぼしました。
顧客への通知によると、このサイバーインシデントは2025年1月13日に最初に発見されました。
不正な第三者が、特定されるまでの約3か月間、同社のシステムにアクセスしていたことが判明しています。不正アクセスは2024年10月21日に始まったと考えられています。
顧客通知では、Conduentが調査チームと協力して影響を受けたファイルの分析や、含まれていた個人情報の特定を行ったことが強調されています。この通知は、受取人のデータが影響を受けたファイルに含まれていたことを確認しています。
盗まれたデータには、氏名、社会保障番号、生年月日、医療情報、健康保険の詳細などが含まれる可能性があります。
2025年2月、SafePayランサムウェア集団がこのサイバー攻撃を主張し、8.5TBのデータを盗んだとしています。
SafePayランサムウェアグループは2024年10月に登場し、それ以来最も活発なサイバー犯罪集団の一つとなっています。
Conduentは、サードパーティの印刷・郵送サービス、文書処理サービス、支払い適正サービス、その他のバックオフィス支援サービスを提供しています。同社は、さまざまな政府の医療プログラムを通じて約1億人の米国居住者を支援し、米国最大級の有料道路システムを運営し、連邦資金による給付および支払いカードプログラムの政府支払い配布サービスも提供しています。
HIPPA JournalはConduentのデータ侵害を史上8番目に大きな医療データ侵害としてランク付けしています。ただし、影響を受けたデータのうち、どれだけが医療保険の携行性と責任に関する法律(HIPAA)規制対象となるかは不明です。
翻訳元: https://www.infosecurity-magazine.com/news/conduent-data-breach-10-million/
