K1: Kuka on Conduent ja millaisia tietoja he käsittelivät?

V1: Conduent on liiketoimintaprosessipalveluja tarjoava yritys, joka hoitaa hallinnollisia ja tietojenkäsittelytehtäviä valtion virastoille ja käsittelee säännöllisesti arkaluonteisia tietoja, kuten etuustietoja, terveystietueita ja sosiaaliturvatunnuksia.

K2: Kuinka monta ihmistä Conduentiin kohdistunut tietomurto koski?

V2: Yli 25 miljoonaa amerikkalaista altistui tietomurrossa, joista noin 10,5 miljoonaa oli Oregonin asukkaita ja noin 15,4 miljoonaa Texasissa.

K3: Kuka oli vastuussa Conduentiin kohdistuneesta tietomurrosta?

V3: SafePay-kiristysohjelmajoukko otti vastuun hyökkäyksestä ja varasti 8,5 teratavua tietoja, mukaan lukien sosiaaliturvatunnuksia, sairauskertomuksia ja sairausvakuutustietoja.

K4: Miksi sosiaaliturvatunnuksia ja sairauskertomuksia pidetään erityisen vaarallisina tietomurrossa?

V4: Sosiaaliturvatunnukset ovat pysyviä ja niitä voidaan käyttää petollisiin luottotileihin, väärennettyihin veroilmoituksiin tai lääketieteelliseen identiteettivarkauteen vielä vuosia tietomurron jälkeen, kun taas sairauskertomuksia voidaan hyödyntää vakuutuspetoksissa ja kohdennetuissa tietojenkalasteluyrityksissä.

K5: Ovatko tietoni voineet paljastua, vaikka en ole koskaan suoraan käyttänyt Conduentin palveluja?

V5: Kyllä, tietosi ovat saattaneet kulkea Conduentin järjestelmien kautta, jos olet saanut valtion etuuksia, terveydenhuollon palveluita tai sosiaalipalveluja jossakin asianomaisessa osavaltiossa, riippumatta siitä, onko sinulla ollut suoraa yhteyttä yritykseen.

25 miljoonaa amerikkalaista altistui: Conduentin hallituksen tietomurto

Merkittävä tietomurto Conduentissa, yrityksessä joka käsittelee arkaluonteisia tietoja hallituksen virastojen puolesta, on paljastanut yli 25 miljoonan amerikkalaisen henkilötiedot. SafePay-kiristysohjelmaaryhmän toteuttama murto johti 8,5 teratavun tietovarkauteen, johon sisältyy sosiaaliturvatunnuksia, lääketieteellisiä tietoja ja sairausvakuutustietoja. Jos asut Oregonissa tai Texasissa, on erityisen todennäköistä, että tietosi joutuivat mukaan tähän tapaukseen.

Tämä tietomurto on karu muistutus siitä, että henkilökohtaiset tietosi eivät ole vain omilla laitteillasi. Ne elävät alihankkijoiden, käsittelijöiden ja kolmannen osapuolen toimittajien järjestelmissä, joista et ole koskaan kuullutkaan ja joiden tietoturvakäytäntöihin sinulla ei ole mitään vaikutusta.

Kuka on Conduent ja miksi tällä on merkitystä?

Conduent on liiketoimintaprosessipalveluita tarjoava yritys, joka hoitaa hallinnollista ja tietojenkäsittelytyötä Yhdysvaltain hallituksen virastoille. Tämä tarkoittaa, että se käsittelee säännöllisesti kaikkein arkaluonteisinta tietoa: etuustietoja, terveystietoja sekä sosiaaliturvatunnuksia, jotka on sidottu todellisten ihmisten identiteetteihin ja taloudelliseen elämään.

Kun Conduentin kaltainen yritys kärsii tietomurrosta, seuraukset leviävät kauas yksittäisen viraston tai osavaltion ulkopuolelle. Oregon ilmoitti noin 10,5 miljoonasta kärsineestä asukkaasta. Texas ilmoitti noin 15,4 miljoonasta. Nämä kaksi osavaltiota yksinään muodostavat merkittävän osan 25 miljoonan uhrin kokonaismäärästä, mutta murto on todennäköisesti koskettanut asukkaita useissa osavaltioissa, jotka ovat tehneet sopimuksen Conduentin kanssa hallituksen palveluista.

SafePay-kiristysohjelmaaryhmä otti vastuun hyökkäyksestä. Tämänkaltaiset kiristysohjelmaaryhmät tyypillisesti suodattavat tiedot ennen järjestelmien salaamista, mikä antaa niille vipuvarsivaikutusta maksun vaatimiseen sekä mahdollisuuden myydä tai vuotaa varastettuja tietoja, vaikka lunnaat maksettaisiin.

Todellinen riski: Sosiaaliturvatunnukset ja lääketieteelliset tiedot eivät vanhene

Kaikilla tietomurroilla ei ole sama pitkän aikavälin riski. Varastetut salasanat voidaan vaihtaa. Vaarantuneita sähköpostiosoitteita voidaan seurata. Mutta sosiaaliturvatunnukset ja lääketieteelliset tiedot ovat aivan eri kategoria.

Sosiaaliturvatunnuksesi on käytännössä pysyvä. Kun se on rikollisen käsissä, sitä voidaan käyttää vilpillisten luottotilien avaamiseen, väärien veroilmoitusten tekemiseen tai lääketieteelliseen identiteettivarkaukseen – joskus vuosia alkuperäisen murron jälkeen. Lääketieteelliset tiedot lisäävät altistumiseen uuden kerroksen paljastamalla sairauksia, lääkityksiä ja vakuutustietoja, joita voidaan hyödyntää vakuutuspetoksissa tai kohdennetuissa tietojenkalasteluhuijauksissa.

Tästä syystä Conduentin tietomurto ansaitsee enemmän huomiota kuin tyypillinen tunnistetietovuoto. Mukana olevat tiedot ovat sellaisia, jotka ruokkivat identiteettivarkauksia vuosiksi, ei vain tapahtumaa seuraaviksi viikoiksi.

Mitä tämä tarkoittaa sinulle

Vaikka et koskaan olisi ollut suoraan tekemisissä Conduentin kanssa, tietosi ovat saattaneet kulkea heidän järjestelmiensä läpi, jos olet saanut hallituksen etuuksia, terveydenhuollon kattavuutta tai sosiaalipalveluja jossakin kärsineessä osavaltiossa. Tässä on mitä sinun kannattaa harkita tekeväsi nyt:

Tarkista tietomurtoilmoituskirjeet. Jos olet Oregonin tai Texasin asukas, seuraa virallisia ilmoituksia osavaltioiden virastoilta siitä, olivatko tietosi mukana.
Aseta luottojäädytys. Luottojäädytys kaikissa kolmessa suuressa luottotoimistossa (Equifax, Experian ja TransUnion) on yksi tehokkaimmista tavoista estää vilpilliset tilien avaukset sosiaaliturvatunnuksesi avulla.
Seuraa etuuslaskelmiasi (EOB). Lääketieteellinen identiteettivarkaus ilmenee usein tuntemattomina vaatimuksina tai palveluntarjoajina sairausvakuutuslaskelmissasi.
Ole valppaana kohdennettujen tietojenkalasteluyritysten suhteen. Hyökkääjät, joilla on hallussaan henkilökohtaisia tietojasi, voivat muotoilla vakuuttavia sähköposteja tai puheluita, jotka näyttävät tulevan hallituksen virastoilta tai vakuuttajilta. Suhtaudu ei-toivottuun yhteydenottoon terveellä epäilyksellä.
Käytä vahvoja, yksilöllisiä salasanoja ja ota kaksivaiheinen todennus käyttöön kaikissa tileissä, jotka on yhdistetty hallituksen palveluihin tai terveydenhuollon portaaleihin.

On myös syytä miettiä laajemmin digitaalisen yksityisyytesi tapoja. Tämänkaltaiset tietomurrot ovat yhä yleisempiä, ja paljastunut data päätyy usein pimeän verkon markkinapaikoille, joissa se paketoidaan ja myydään edelleen. Kokonaisaltistumisesi rajoittaminen – vahvojen yksityisyyskäytäntöjen ja työkalujen avulla, jotka vähentävät toimintasi seurattavuutta tai siepattavuutta – on järkevä vastaus maailmaan, jossa laajamittaisista tietomurroista on tullut arkipäivää.

Kolmannen osapuolen riski on kaikkien ongelma

Conduentin tietomurto on osa laajempaa kaavaa. Hallituksen virastot ja suuret laitokset delegoivat säännöllisesti tietojenkäsittelyn alihankkijoille, ja nämä alihankkijat voivat muodostaa heikomman lenkin muuten turvallisessa ketjussa. Yksilönä sinulla on lähes nolla näkyvyyttä siihen, mitkä toimittajat pitävät hallussaan tietojasi tai kuinka hyvin nämä toimittajat suojaavat niitä.

Se on turhauttava todellisuus, mutta se vahvistaa, miksi oman yksityisyyden hallinta on tärkeää. VPN:n, kuten hide.me:n, käyttäminen ei estä hallituksen alihankkijaa joutumasta tietomurron kohteeksi, mutta se on yksi kerros laajemmassa lähestymistavassa pitää verkkotoimintasi yksityisenä – erityisesti julkisissa tai jaetuissa verkoissa, joissa tietosi ovat eniten altistuneet. Yksityisyyttä ensisijaisesti korostavien tapojen rakentaminen – mukaan lukien salattu selaaminen, huolellinen tilinhoito ja tietoisuus sinuun vaikuttavista tietomurroista – on käytännöllinen vastaus uhkamaisemaan, jota et voi täysin hallita.

25 miljoonaa Conduentin tietomurrossa mukaan joutunutta amerikkalaista ei tehnyt mitään väärin. Heidän tietojaan yksinkertaisesti piti organisaatio, josta tuli kohde. Paras puolustus on pysyä ajan tasalla, toimia nopeasti tietomurtojen tapahtuessa ja tehdä henkilötietojen yksityisyydestä säännöllinen tapa eikä jälkikäteen mietittävä asia.