蒙大拿州蓝十字蓝盾46.2万成员健康数据在Conduent泄露事件中曝光

蒙大拿州蓝十字蓝盾46.2万成员的个人和健康信息在Conduent业务服务公司的数据泄露事件中遭曝光,事件涉及社保号、出生日期、医疗服务详情等敏感数据,暴露时间为2024年10月至2025年1月。

蒙大拿州蓝十字蓝盾46.2万成员健康数据在Conduent泄露事件中曝光

WVNews报道称,蒙大拿州46.2万居民的个人和受保护健康信息涉及Conduent业务服务公司在2024年10月至2025年1月期间遭遇的重大数据泄露事件。该州的保险和证券委员会希望了解为何蒙大拿州蓝十字蓝盾(BCBSMT)没有更早通知州政府。

这起泄露事件在一份提交给州审计长办公室的报告中曝光。

蒙大拿州新闻局通过记录请求获得的文件显示,该州最大健康保险公司蓝十字蓝盾蒙大拿分公司的现有和前任客户的社保号码、出生日期和医疗服务详情——包括治疗和诊断代码、提供商名称和索赔金额——可能在泄露事件中遭到泄露。

根据代表该保险公司的律师提交的报告,泄露事件从2024年10月持续到2025年1月,但直到本月早些时候——近一年后——才向州监管机构报告。

Conduent泄露事件详情

Conduent的泄露事件始于2024年10月21日,于2025年1月13日被发现,在俄克拉荷马州和威斯康星州的一些州机构报告服务中断后,于2025年4月首次披露。4月9日,Conduent通知了美国证券交易委员会:

第1.05条 重大网络安全事件

2025年1月13日,Conduent Incorporated(“公司”)经历了运营中断,并得知"威胁行为者"未经授权访问了公司环境的有限部分。检测到后,公司在外部网络安全专家的帮助下启动了网络安全响应计划,以控制、评估和修复事件。公司在几天内(在某些情况下是几小时内)恢复了受影响的系统并恢复正常运营。此次中断未对公司运营产生重大影响。

作为持续调查的一部分,公司确定威胁行为者外泄了与公司有限数量客户相关的一组文件。由于文件的复杂性,公司聘请了网络安全数据挖掘专家来评估外泄数据,并最近获悉其性质、范围和有效性,确认数据集包含大量与我们客户最终用户相关的个人身份信息。公司正在继续进一步分析和记录外泄数据的确切详细影响,并正在适当通知客户,以根据联邦和州法律确定后续步骤。据公司所知,外泄数据尚未在暗网或其他公开渠道发布。

虽然公司未因事件本身对其运营环境或成本产生重大影响,但基于潜在的通知要求,公司在第一季度已产生并计提了重大的非经常性费用。公司持有网络保险单,并已就该事件通知联邦执法当局。

据报道,Conduent泄露事件影响了430万人,但尚不清楚本月之前有多少人收到了个别通知。没有公开的Conduent客户名单,蒙大拿州蓝十字蓝盾可能只是众多Conduent客户之一,这些客户的受保护健康信息或患者数据遭到曝光。

通知延迟与监管合规问题

2025年10月8日,Conduent向加州总检察长办公室提交了一份模板通知信。信中部分内容如下:

“我们代表客户,Conduent业务服务有限责任公司(‘Conduent’)提供第三方打印/邮件室服务、文档处理服务、支付完整性服务和其他后台支持服务。我们写信通知您关于Conduent最近经历的一起事件,该事件可能涉及您的一些个人信息,这些信息因我们向<客户名称>提供的服务而进入我们的掌握。虽然我们不知道此事件中涉及的任何信息有任何尝试或实际滥用,但我们向您提供有关事件的信息以及您可以采取的保护自己的步骤,如果您认为有必要的话。

发生了什么?2025年1月13日,我们发现我们遭受了一起网络事件,影响了我们网络的有限部分。我们立即保护了我们的网络,并在第三方取证专家的协助下启动了调查。我们的调查确定,未经授权的第三方在2024年10月21日至2025年1月13日期间访问了我们的环境,并获取了与<客户名称>相关的一些文件。鉴于所涉及数据的性质和复杂性,Conduent一直与专门的审查团队(包括内部和外部专家)勤奋工作,对受影响文件进行详细分析,以识别其中包含的个人信息。我们在此数据分析最近结束后向您提供此通知,因为您的个人信息包含在受影响文件中。

涉及哪些信息。受影响文件包含您的姓名和以下内容:<>。目前,我们没有证据或迹象表明您的个人信息被实际或试图滥用。”

截至今日发布,BCBSMT网站上没有泄露通知。或许具有讽刺意味的是,该保险公司在其主页上显著显示了一个部分,声称拥有网络安全专家保护其成员数据免受黑客威胁。

Conduent曾在其网站上发布替代通知,但似乎已被删除,且在archive.org上未存档。

正如WVNews报道,蒙大拿州法律要求公司在可能暴露州居民个人信息的数据泄露事件中,“不得无故延迟"向司法部报告,同时符合执法需要和"确定泄露范围和恢复数据系统合理完整性所需的任何措施”。蒙大拿州的公共泄露报告网站上没有出现此泄露事件的通知。

HIPAA要求实体在发现泄露后不迟于60个日历日内向HHS和受影响者报告泄露。HHS的公共泄露工具中没有来自Conduent或BCBSMT的条目。

HHS自9月24日以来似乎没有更新其工具,但BCBSMT(或Conduent,如果合同负责)可能未能遵守州和联邦政府的通知要求。

:2025年2月,Safepay声称对Conduent的攻击负责。当DataBreaches今天搜索他们的泄露网站时,找不到任何Conduent的列表。DataBreaches不知道列表被删除的原因。

此帖子在发布后经过编辑,将健康保险公司的缩写改为BCBSMT,以与该实体通常的缩写方式保持一致。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次