蒙大拿州蓝十字蓝盾46.2万成员健康数据在Conduent泄露事件中曝光

WVNews报道称，蒙大拿州46.2万居民的个人和受保护健康信息涉及Conduent商业服务公司在2024年10月至2025年1月期间遭遇的重大数据泄露事件。该州保险和证券委员会希望了解为何蒙大拿州蓝十字蓝盾（BCBSMT）没有更早通知州政府。

这起泄露事件在一份提交给州审计长办公室的报告中曝光。

蒙大拿州新闻局通过记录请求获得的文件显示，该州最大健康保险公司蓝十字蓝盾蒙大拿分公司的现有和前任客户的社安号码、出生日期和医疗服务详情（包括治疗和诊断代码、提供商名称和索赔金额）可能在泄露中遭到泄露。

根据代表该保险公司的律师提交的报告，泄露事件从2024年10月持续到2025年1月，但直到本月早些时候（近一年后）才向州监管机构报告。

Conduent泄露事件详情

Conduent的泄露事件始于2024年10月21日，于2025年1月13日被发现，在俄克拉荷马州和威斯康星州的一些州机构报告服务中断后，于2025年4月首次披露。4月9日，Conduent向美国证券交易委员会提交通知：

第1.05条 重大网络安全事件

2025年1月13日，Conduent公司经历运营中断，并获悉"威胁行为者"未经授权访问了公司环境的有限部分。检测到后，公司在外部网络安全专家的帮助下启动了网络安全响应计划，以控制、评估和修复事件。公司在几天内（某些情况下几小时内）恢复了受影响系统并恢复正常运营。此次中断未对公司运营产生重大影响。

作为持续调查的一部分，公司确定威胁行为者外泄了与公司有限数量客户相关的一组文件。由于文件的复杂性，公司聘请了网络安全数据挖掘专家评估外泄数据，并最近获悉其性质、范围和有效性，确认数据集包含大量与客户终端用户相关的个人信息。公司正在继续进一步分析和记录外泄数据的确切详细影响，并适时通知客户以根据联邦和州法律确定后续步骤。据公司所知，外泄数据尚未在暗网或其他公开渠道发布。

虽然公司未因事件本身对其运营环境或成本产生重大影响，但公司已因潜在通知要求在第一季度产生并计提了重大非经常性费用。公司持有网络保险单，并已就此事通知联邦执法部门。

影响范围和通知问题

据报道，Conduent泄露事件影响了430万人，但尚不清楚本月之前有多少人收到个别通知。没有公开的Conduent客户名单，蒙大拿州蓝十字蓝盾可能只是众多Conduent客户之一，其受保成员或患者的受保护健康信息遭到曝光。

2025年10月8日，Conduent向加州总检察长办公室提交了模板通知信。信中部分内容如下：

“我们代表客户，Conduent商业服务公司提供第三方打印/邮件室服务、文件处理服务、支付完整性服务和其他后台支持服务。我们写信通知您关于Conduent最近经历的事件，该事件可能涉及您的一些个人信息，这些信息因我们向<客户名称>提供的服务而进入我们的掌握。虽然我们不知道此事件中涉及的任何信息被尝试或实际滥用，但我们向您提供有关事件的信息以及您可以采取的保护措施，如果您认为有必要。”

发生了什么？ 2025年1月13日，我们发现我们遭受了影响我们网络有限部分的网络事件。我们立即保护了网络，并在第三方取证专家的协助下启动了调查。我们的调查确定，未经授权的第三方在2024年10月21日至2025年1月13日期间访问了我们的环境，并获取了与<客户名称>相关的一些文件。鉴于所涉数据的性质和复杂性，Conduent一直与专门的审查团队（包括内部和外部专家）勤奋合作，对受影响文件进行详细分析以识别其中的个人信息。我们在此数据分析耗时结束后向您提供此通知，因为您的个人信息包含在受影响文件中。

涉及哪些信息。 受影响文件包含您的姓名和以下内容：<>。目前，我们没有证据或迹象表明您的个人信息被实际或尝试滥用。

截至今日发布，BCBSMT网站上没有泄露通知。或许具有讽刺意味的是，该保险公司在其主页上显著显示了一个部分，声称其拥有网络安全专家保护成员数据免受黑客威胁。

Conduent曾在其网站上发布替代通知，但似乎已被删除，且在archive.org上未存档。

合规问题

正如WVNews报道，蒙大拿州法律要求公司"不得无理延迟"向司法部报告可能暴露州居民个人信息的数据泄露事件，同时考虑执法需要和"确定泄露范围和恢复数据系统合理完整性所需的任何措施"。蒙大拿州的公共泄露报告网站上没有出现此泄露事件的通知。

HIPAA要求实体在发现泄露后不迟于60个日历日内向HHS和受影响者报告泄露。HHS的公共泄露工具中没有来自Conduent或BCBSMT的条目。

HHS自9月24日以来似乎未更新其工具，但BCBSMT（或Conduent，如果合同责任）可能未能遵守州和联邦政府的通知要求。

本文在发布后经过编辑，将健康保险公司的缩写改为BCBSMT，以与该实体通常的缩写方式保持一致。