ABD’deki en büyük kamu sözleşmelerinden birinde yaşanan fidye yazılımı saldırısının etkileri giderek büyüyor: 25 milyon kişiden fazla bireysel verinin çalındığı ortaya çıktı.
Conduent, eyalet hükümetleri için gıda yardımı gibi hizmetlerin yanı sıra büyük şirketlere iş gücü ve işsizlik yardımları için yazdırma, posta hizmetleri ve belge ve ödeme işleme hizmetleri sunuyor. Bu nedenle, firma ABD genelinde birçok kişinin kişisel bilgilerini işliyor. Conduent, teknoloji ve operasyonel destek hizmetlerinin 100 milyondan fazla kişiye ulaştığını belirtiyor.
Ancak, Ocak 2025’te gerçekleşen siber saldırıdan sonra, fidye yazılımı grubunun kredi aldığı bu saldırı hakkında şirketin veri ihlaliyle ilgili neyin neden olduğu veya kaç kişinin etkilendiği gibi çok az bilgi paylaştığı dikkat çekiyor.
Wisconsin eyaletinin veri ihlali bildirim sayfasında yapılan bir güncelleme, Conduent’in ihlalinin ABD genelinde en az 25 milyon kişiyi etkilediğini gösteriyor.
TechCrunch’ın çeşitli veri ihlali bildirim mektuplarından elde ettiği verilere göre de etkilenen kişi sayısı yaklaşık 25 milyon, Oregon (10,5 milyon) ve Texas (15,4 milyon) en çok etkilenen eyaletler arasında. Ayrıca Massachusetts, New Hampshire ve Washington’da birkaç yüz bin bireyin daha etkilendiği bildirilmekte.
İhlalin, bireylerin isimlerini, doğum tarihlerini, adreslerini, Sosyal Güvenlik numaralarını, sağlık sigortası bilgilerini ve tıbbi verileri tehlikeye attığı biliniyor.
Conduent, veri ihlali bildirimleri dışında çok az bilgi paylaşıyor ve bazı durumlarda etkilenen bireylerin ihlal hakkında bilgi edinmesini zorlaştırıyor.
Conduent’in web sitesinde yer alan ve Ekim 2025’te yayımlanan “Olay Bildirimi” başlıklı sayfa, açıkça bir siber güvenlik olayına değinmiyor. Sayfanın kaynak kodunda, arama motorlarının sayfayı listelememesini belirten gizli bir “noindex” etiketi bulunuyor. Bu durum, sayfayı arayanların bulmasını zorlaştırıyor.
TechCrunch’a ulaşan Conduent sözcüsü Sean Collins, şirketin şimdiye kadar kaç bildirim gönderdiğini veya neden olay bildirimini arama motorlarından gizlediğini açıklamadı.
Conduent’in ihlali “en büyük olanlardan biri” olarak tanımlanırken, bu ihlalin, Şubat 2024’te gerçekleşen ve 190 milyondan fazla kişiyi etkileyen Change Healthcare siber saldırısının gerisinde kaldığı anlaşılıyor. Rusça konuşan bir fidye yazılımı çetesi, Change Healthcare’den çalınan korumasız bir kimlik bilgisiyle sağlık ve tıbbi verileri çalmış ve sağlık teknolojisi devinin çalınan verilerin çoğunu internette tutmaması için en az iki fidye ödemek zorunda kalmasına neden olmuştur.
