25 milijuna Amerikanaca izloženo: Povreda podataka vladine tvrtke Conduent

25 milijuna Amerikanaca izloženo: Povreda podataka vladine tvrtke Conduent

Velika povreda podataka u tvrtki Conduent, koja obrađuje osjetljive informacije u ime vladinih agencija, otkrila je osobne podatke više od 25 milijuna Amerikanaca. Povredu je izvršila ransomware skupina SafePay, a rezultirala je krađom 8,5 terabajta podataka, uključujući brojeve socijalnog osiguranja, medicinske kartone i podatke o zdravstvenom osiguranju. Ako živite u Oregonu ili Teksasu, vjerojatnost da su vaši podaci bili zahvaćeni ovim incidentom posebno je visoka.

Ova povreda podataka snažan je podsjetnik da vaši osobni podaci ne čuvaju se samo na vašim uređajima. Oni postoje unutar sustava izvođača, obrađivača i vanjskih dobavljača za koje nikada niste ni čuli, i nad čijim sigurnosnim praksama nemate nikakav nadzor.

Tko je Conduent i zašto je ovo važno?

Conduent je tvrtka za poslovne procesne usluge koja obavlja administrativne poslove i obradu podataka za vladine agencije diljem Sjedinjenih Država. To znači da rutinski rukuje najosjetljivijom vrstom informacija: podacima o socijalnim naknadama, zdravstvenim kartonima i brojevima socijalnog osiguranja povezanim sa stvarnim identitetima i financijskim životima ljudi.

Kada tvrtka poput Conduenta doživi povredu podataka, posljedice se šire daleko izvan jedne agencije ili države. Oregon je prijavio otprilike 10,5 milijuna pogođenih stanovnika. Teksas je prijavio oko 15,4 milijuna. Zajedno, samo te dvije države čine značajan udio od ukupno 25 milijuna žrtava, no povreda je vjerojatno pogodila stanovnike više država koje su sklopile ugovor s Conduentom za vladine usluge.

Ransomware skupina SafePay preuzela je odgovornost za napad. Ovakve ransomware skupine tipično izvlače podatke prije nego što enkriptiraju sustave, čime si osiguravaju polugu za zahtijevanje plaćanja, kao i mogućnost prodaje ili curenja ukradenih podataka čak i ako bude plaćen otkup.

Stvarni rizik: Brojevi socijalnog osiguranja i medicinski kartoni ne zastarijevaju

Nisu sve povrede podataka jednako rizične na dugi rok. Ukradene lozinke mogu se promijeniti. Kompromitirane e-mail adrese mogu se pratiti. No brojevi socijalnog osiguranja i medicinski kartoni potpuno su druga kategorija.

Vaš broj socijalnog osiguranja praktički je trajan. Jednom kada dospije u ruke kriminalca, može se koristiti za otvaranje lažnih kreditnih računa, podnošenje lažnih poreznih prijava ili počinjenje krađe medicinskog identiteta — ponekad godinama nakon izvorne povrede. Medicinski kartoni dodaju još jedan sloj izloženosti, otkrivajući bolesti, lijekove i podatke o osiguranju koji se mogu iskoristiti u prijevarama s osiguranjem ili ciljanim phishing napadima.

Upravo zato povreda podataka tvrtke Conduent zaslužuje više pažnje od tipičnog curenja pristupnih podataka. Podaci o kojima je riječ vrsta su koja potiče krađu identiteta godinama, a ne samo tjednima nakon incidenta.

Što to znači za vas

Čak i ako nikada niste izravno poslovali s Conduentom, vaši podaci možda su prošli kroz njihove sustave ako ste primali vladine naknade, zdravstveno pokriće ili socijalne usluge u pogođenoj državi. Evo što biste trebali razmotriti:

• Provjerite obavijesti o povredi podataka. Ako ste stanovnik Oregona ili Teksasa, pratite službene obavijesti državnih agencija o tome jesu li vaši podaci bili uključeni.
• Zamrznite kreditni profil. Zamrzavanje kreditnog profila kod sva tri glavna kreditna ureda (Equifax, Experian i TransUnion) jedan je od najučinkovitijih načina za sprječavanje lažnog otvaranja računa pomoću vašeg broja socijalnog osiguranja.
• Pratite izvode o objašnjenju naknada (EOB). Krađa medicinskog identiteta često se očituje u obliku neprepoznatljivih zahtjeva ili davatelja usluga na vašim izvodima zdravstvenog osiguranja.
• Budite oprezni s ciljanim phishingom. Napadači koji posjeduju vaše osobne podatke mogu sastavljati uvjerljive e-mailove ili pozive koji naizgled dolaze od vladinih agencija ili osiguravajućih društava. Prema neželjenim kontaktima pristupajte sa zdravom dozom skepticizma.
• Koristite jake, jedinstvene lozinke i omogućite dvofaktorsku autentifikaciju na svim računima povezanim s vladinim uslugama ili zdravstvenim portalima.

Vrijedi razmisliti i šire o navikama digitalne privatnosti. Ovakve povrede podataka sve su učestalije, a izloženi podaci često završe na tržištima dark weba gdje se pakiraju i preprodaju. Ograničavanje ukupne izloženosti — kroz jake prakse zaštite privatnosti i alate koji smanjuju mogućnost praćenja ili presretanja vaših aktivnosti — razuman je odgovor na svijet u kojemu su masovne povrede podataka postale uobičajene.

Rizik trećih strana problem je svih

Povreda podataka tvrtke Conduent dio je šireg obrasca. Vladine agencije i velike institucije rutinski prepuštaju obradu podataka izvođačima, a ti izvođači mogu predstavljati slabiju kariku u inače sigurnom lancu. Kao pojedinac, gotovo nemate uvid u to koji dobavljači čuvaju vaše podatke niti koliko dobro ih štite.

To je frustrirajuća stvarnost, ali naglašava zašto je preuzimanje odgovornosti za vlastitu privatnost važno. Korištenje VPN-a poput hide.me neće spriječiti povredu podataka kod vladinog izvođača, ali predstavlja jedan sloj u širem pristupu zaštiti privatnosti vaše mrežne aktivnosti — posebno kada koristite javne ili dijeljene mreže gdje su vaši podaci najizloženiji. Izgradnja navika usmjerenih na privatnost — uključujući enkriptirano pregledavanje, pažljivo upravljanje računima i praćenje povreda koje vas se tiču — praktičan je odgovor na prijetnje koje ne možete u potpunosti kontrolirati.

25 milijuna Amerikanaca zahvaćenih povredom podataka tvrtke Conduent nije ništa pogriješilo. Njihovi podaci jednostavno su se nalazili kod organizacije koja je postala meta napada. Najbolja obrana jest ostati informiran, brzo djelovati kada do povreda dođe i učiniti zaštitu osobnih podataka redovitom navikom, a ne naknadnom mišlju.