Ringkasan:
-
Kontraktor pemerintah, Conduent, terkena serangan ransomware, yang membahayakan informasi pribadi sensitif lebih dari 25 juta orang Amerika.
-
Data yang dicuri mencakup nama, alamat, nomor Jaminan Sosial, dan catatan medis, membuat pencurian identitas menjadi mudah dan bertahan lama.
-
Peretas memiliki akses ke sistem Conduent selama hampir tiga bulan sebelum pelanggaran terdeteksi, sehingga menimbulkan dampak yang berkelanjutan.
Kontraktor pemerintah yang mungkin belum pernah Anda dengar mungkin telah menyerahkan informasi pribadi Anda yang paling sensitif kepada mereka peretas.
Conduent – sebuah perusahaan layanan bisnis berbasis di New Jersey yang memproses data untuk lembaga negara, program manfaat pemerintah, dan perusahaan Fortune 100 – terkena serangan ransomware pada Januari 2025. Pelanggarannya parah. Dan diam-diam keadaannya menjadi lebih buruk sejak saat itu.
Apa yang awalnya tampak seperti insiden terbatas yang mempengaruhi sekitar 4 juta orang kini telah membengkak menjadi lebih dari 25 juta orang Amerika, menurut pengajuan jaksa agung negara bagian dan penghitungan yang sedang berlangsung oleh TechCrunch. Texas sendiri menyumbang 15,4 juta penduduk yang terkena dampak – hampir setengah populasi negara bagian tersebut. Oregon telah mengkonfirmasi 10,5 juta lainnya. Pemberitahuan telah dikeluarkan di California, Delaware, Indiana, Maine, Massachusetts, New Hampshire dan Vermont, dan diperkirakan akan ada lebih banyak negara bagian.
Data yang dicuri bukanlah data yang bisa Anda atur ulang begitu saja. Nama, tanggal lahir, alamat, nomor Jaminan Sosial, catatan medis dan rincian asuransi kesehatan semuanya terungkap – kombinasi tepat yang membuat pencurian identitas tidak hanya mungkin terjadi, namun juga mudah dan bertahan lama.
Serangan itu dilakukan oleh kelompok ransomware SafePay, yang mengaku bertanggung jawab pada Februari 2025 dan mengatakan pihaknya mengambil lebih dari 8,5 terabyte data. Kelompok tersebut mengancam akan mempublikasikan data yang dicuri jika tuntutan tebusan tidak dipenuhi. Conduent tidak lagi terdaftar di situs kebocoran web gelap grup tersebut, meskipun perusahaan belum mengonfirmasi apakah uang tebusan telah dibayarkan.
Inilah yang membuat timeline ini sangat mengkhawatirkan: peretas memiliki akses ke sistem Conduent dari 21 Oktober 2024 hingga 13 Januari 2025 – hampir tiga bulan – sebelum perusahaan mendeteksi penyusupan. Masyarakat tidak diberitahu secara resmi hingga bulan April 2025. Individu yang terkena dampak di beberapa negara bagian tidak menerima surat hingga bulan Oktober 2025, hampir setahun setelah pelanggaran dimulai. Conduent mengatakan pihaknya mengharapkan untuk menyelesaikan semua pemberitahuan konsumen pada 15 April 2026.
Berbagai tuntutan hukum class action telah dikonsolidasikan di Pengadilan Distrik AS di New Jersey, dengan penggugat menuduh perusahaan tersebut gagal melindungi data sensitif secara memadai dan menunggu terlalu lama untuk memberi tahu publik. Jaksa Agung Texas membuka penyelidikan formal pada 22 Februari 2026. Conduent telah melaporkan biaya respons pelanggaran langsung sebesar $25 juta, dengan $17 juta telah dicairkan dan $8 juta lainnya diharapkan pada paruh pertama tahun 2026.
Kebanyakan orang yang terkena dampak tidak tahu bahwa Conduent memiliki datanya. Perusahaan ini beroperasi sebagai pemroses backend untuk Medicaid, bantuan makanan SNAP, tunjangan anak, tunjangan pengangguran, dan sistem penggajian di tempat kerja. Teknologi dan layanannya menjangkau lebih dari 100 juta orang di seluruh negeri, berdasarkan pengajuannya sendiri. Ketika backend terkena dampaknya, orang-orang yang merasakannya adalah pihak yang paling rentan – penerima manfaat, pasien, orang-orang yang bergantung pada program pemerintah agar berjalan sebagaimana mestinya.
Conduent mengatakan dalam sebuah pernyataan bahwa mereka “tidak memiliki bukti adanya upaya atau penyalahgunaan informasi apa pun yang berpotensi terkena dampak insiden ini.” Namun dengan nomor Jaminan Sosial yang digabungkan, risiko tersebut tidak akan berakhir. Berbeda dengan kata sandi yang dibobol, nomor Jaminan Sosial tidak dapat diubah. Paparannya bersifat permanen.
Pelanggaran ini menduduki peringkat kedelapan pelanggaran data layanan kesehatan terbesar dalam sejarah AS, menurut Jurnal HIPAA. Jaksa Agung Texas Ken Paxton menyebutnya “kemungkinan pelanggaran terbesar dalam sejarah AS.”
Jumlahnya masih terus bertambah.
Comments are closed.