美國商業服務公司Conduent爆發重大網路安全事件,影響逾2500萬人。駭客於2024年10月至2025年1月期間,未經授權存取公司內部檔案,可能洩露個資與醫療資訊。Conduent已通知客戶與監管機構,並建議民眾留意可疑活動。專家呼籲加強第三方供應商的資安保護。
美國商業服務公司Conduent爆發重大網路安全事件,影響全美數千萬人。該公司主要業務為文件處理、支付系統及行政服務,客戶包含多家大型健康保險業者與政府機構,因此經手的個資數量龐大。
Conduent聲明指出,2024年10月21日至2025年1月13日期間,公司內部檔案遭到未經授權的存取。雖然早在2025年1月已發現此事件,但數月後經各州監管機構審查數據後,才確認事件的完整規模。
初步估計約有1540萬人受到影響,但隨著多州更新報告,受影響人數已超過2500萬人,使這起事件可能成為美國有史以來規模最大的個資外洩事件。
Conduent表示,公司在2025年1月中旬發現系統出現異常活動,隨即展開內部調查,並聘請第三方網路安全專家進行鑑識分析。調查人員發現,在入侵行為被偵測到之前的數週內,未經授權的行為者已存取某些系統,可能已存取包含個人身分識別和健康相關資訊的檔案。
在確認資料外洩後,Conduent已通知客戶、監管機構和州政府單位,並在調查人員確認哪些記錄可能外洩後,開始準備消費者通知信函。監管文件顯示,組織必須向受影響個人居住的每個州單獨報告違規行為。隨著各州完成各自的審查並更新報告,新的數據也隨之浮現。例如,德州最初估計有400萬人受影響,但更新後的估計數字為1540萬人;奧勒岡州先前未報告,但更新後報告有1050萬人受影響。
德州檢察長Ken Paxton表示,根據可能外洩的記錄數量,這起事件可能是美國史上最大的資料外洩事件。據悉,遭洩露的檔案包含一系列個人和醫療保健相關數據,由於Conduent為保險公司處理資訊,許多受影響的記錄與健康保險帳戶有關。
Conduent已澄清,並非每個人洩露的數據都相同,但調查人員確認,遭洩露的檔案可能包含以下類型的資訊:完整姓名和識別詳細資訊、社會安全碼、健康保險資訊,以及用於保險處理的某些醫療相關數據。
健康資料外洩事件尤其令人擔憂,因為它將身分資訊與保險記錄結合在一起。如果遭到濫用,這些資訊可能導致身分盜竊、欺詐性保險索賠或有針對性的網路釣魚詐騙。儘管此次資料外洩事件嚴重,但Conduent表示,目前沒有證據表明遭洩露的數據已被公開或濫用。不過,專家警告,遭竊的數據有時可能在攻擊事件發生數月後才出現在地下市場。
由於Conduent是第三方服務供應商,並非直接面向消費者的品牌,許多人可能無法立即知道自己的個資是否包含在遭洩露的檔案中。Conduent已表示,正在向個資包含在受影響檔案中的個人發送通知信函,預計在4月中旬之前會持續發送。民眾可留意保險公司或醫療保健提供者發出的官方違規通知信函,並主動聯繫自己的健康保險公司,詢問他們是否使用Conduent的服務。同時,也應仔細檢查信用報告和財務報表,留意是否有異常活動,並密切關注各州消費者保護機構發布的公告。
專家建議,在重大違規事件發生後的幾個月內,消費者仍應保持警惕,因為身分盜竊和詐欺有時會在網路攻擊發生後很長時間才發生。可能的警訊包含:意外的醫療帳單、陌生的保險索賠、信用評分突然變化,或從未提交過的貸款申請。如果出現任何可疑活動,建議立即聯繫金融機構、醫療保健提供者和信用報告機構。
Conduent資料外洩事件凸顯醫療保健和保險產業中,網路安全風險日益升高。醫療保健數據系統儲存大量敏感的個人資訊,使其成為網路犯罪份子的目標。另一個導致大規模違規的因素是,仰賴第三方供應商同時為多家組織處理管理數據。當一家服務供應商遭到入侵時,違規行為可能會影響許多公司的記錄和數百萬人。監管機構和網路安全專家預計將審查是否需要加強保護和更嚴格地監督第三方供應商,以防止未來發生類似事件。台灣企業也應引以為戒,審慎評估合作夥伴的資安防護能力,並加強自身資料保護措施,以降低個資外洩風險。