Veri İhlali Bildirimi, Veri Gizliliği, Veri Güvenliği
2025’in En Büyük İhlali 10,5 Milyon Kişiyi, Birden Fazla Sigortacıyı, Devlet Kurumunu Etkiledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
4 Kasım 2025
Conduent Business Solutions’a karşı önerilen federal toplu dava, Ekim 2024’te meydana gelen bir bilgisayar korsanlığı olayının 10,5 milyondan fazla kişinin kişisel ve sağlık bilgilerini potansiyel olarak tehlikeye attığının kısa süre önce kamuya açıklanmasının ardından birikiyor.
Ayrıca bakınız: İsteğe Bağlı | Eşsiz Keşif ve Savunma ile API Güvenliğini Dönüştürün
Salı günü itibarıyla, şirketin veri hırsızlığı olayının yaklaşık 10,52 milyon kişiyi etkilediğine dair eyalet düzenleyicilerine verdiği son ihlal raporunun ardından, 27 Ekim’den bu yana New Jersey federal mahkemesinde Conduent aleyhine en az dokuz toplu dava açıldı.
Bu davalara ek olarak, diğer hukuk firmaları da son günlerde Conduent veri ihlalini olası toplu davalar için araştırdıklarını belirten basın açıklamaları yayınladılar.
New Jersey merkezli Conduent, 22 ülkedeki işletmelere ve hükümetlere geniş bir yelpazede arka ofis hizmetleri sağlıyor ve 2024’te 3,4 milyar dolar gelir bildirdi. Conduent, Ocak 2017’de Xerox’un ticari hizmetler bölümünden ayrılarak halka açık iki ayrı şirket kurmasıyla faaliyete geçti.
Conduent’e karşı şu ana kadar önerilen toplu dava davaları da benzer iddialarda bulunuyor; buna şirketin bireylerin kişisel bilgilerini siber suçlulardan koruma konusunda ihmalkar davrandığı da dahil.
Davacı Brian Marshall tarafından kendisi ve benzer durumdaki diğerleri adına 28 Ekim’de Conduent’e karşı açılan iddia edilen dava, “Davacının ve grup üyelerinin özel bilgilerini elde ederek, toplayarak ve saklayarak, davalı, davacının ve grup üyelerinin son derece hassas bilgilerini korumak, bu bilgileri yalnızca ticari amaçlarla kullanmak ve yalnızca yetkili açıklamalar yapmak için adil ve yasal görevleri üstlendi.”
Marshall’ın şikayetinde, “Bu görevlere rağmen davalı, davacının ve grup üyelerinin özel bilgilerini korumak için makul veri güvenliği önlemlerini uygulama konusunda başarısız oldu ve sonuçta tehdit aktörlerinin bilgisayar sistemlerini ihlal etmesine ve davacının ve grup üyelerinin özel bilgilerine sızmasına izin verdi.” ifadesine yer verildi.
Conduent’e karşı şu ana kadar yapılan diğer şikayetlere benzer şekilde, Marshall’ın davası mali tazminat ve ihtiyati tedbir talep ediyor; “gelecekte veri ihlali gibi olayların tekrarlanmasını önlemek için davalının gözetimindeki özel bilgilerin korunmasına yönelik makul ölçüde yeterli uygulamaların benimsenmesi ve davalının, davacıya ve grup üyelerine yaşamları boyunca kimlik hırsızlığı koruyucu hizmetler sunması da dahil.”
Son günlerde Conduent olayını olası bir dava için araştırdıklarını söyleyen kamu duyuruları yayınlayan birçok hukuk firmasından birine göre, şu ana kadar ihlalden etkilendiği iddia edilen Conduent müşterileri arasında sigorta şirketleri Blue Cross Blue Shield of Montana, Blue Cross Blue Shield of Texas, Humana ve Premera Blue Cross – ve eyalet devlet kurumları – Wisconsin Çocuk ve Aile Departmanı ve Oklahoma İnsani Hizmetler Departmanı yer alıyor.
Ancak Oklahoma DHS’si Salı günü ISMG’ye yaptığı açıklamada Conduent’in devlet kurumuna verilerinin olaydan etkilenmediğini bildirdiğini söyledi. “Oklahoma İnsani Hizmetler, Conduent’ten Ekim 2024’teki veri ihlaliyle ilgili olarak Şubat 2025’te bir iletişim aldı. Bu beyan, Oklahoma müşterileri veya Oklahoma İnsani Hizmetler üzerinde herhangi bir etki olmadığını doğruladı. Bu iddialarla çelişen kaynaklar varsa, müşterilerimiz veya verilerimiz üzerinde herhangi bir etkisi olduğuna dair hiçbir bilgimiz olmadığı için bu soruları doğrudan Conduent’e erteliyoruz.”
Premera Blue Cross, Salı günü ISMG’ye yaptığı açıklamada, sigorta şirketinin bazı sağlık planı üyelerini etkileyen Conduent olayının, Premera’nın BT sistemlerinden ödün verilmesini içermediğini vurguladı.
Premera, “Son veri güvenliği olayının, Premera Blue Cross ve diğer sağlık planlarına idari destek hizmetleri sağlayan üçüncü taraf bir satıcı olan Conduent Business Services’te meydana geldiğini açıklığa kavuşturmak istiyoruz.” dedi. Premera açıklamasında, “Bu, Premera sistemlerinin ihlali değildi. Conduent bize, 21 Ekim 2024 ile 13 Ocak 2025 tarihleri arasında ağının bir kısmına yetkisiz bir tarafın eriştiğini bildirdi.” dedi.
Premera, “Premera’ya sağladıkları hizmetlerle ilgili kişisel bilgiler içeren bazı dosyalar olaya karıştı. Conduent, bilgilerin herhangi birinin kötüye kullanıldığına dair bir kanıt olmadığını belirtti. Sistemlerini güvence altına almak için adımlar attılar, kolluk kuvvetlerine bilgi verdiler ve etkilenen kişilerle doğrudan iletişime geçiyorlar” dedi.
Etkilenen Premera sağlık planı üyelerine iki yıl boyunca ücretsiz kredi izleme ve kimlik koruma hizmetleri sunuluyor. “Üyelerimizin desteklenmesini ve bilgilendirilmesini sağlamak için Conduent ile yakın bir şekilde çalışıyoruz. Bunun neden olabileceği endişelerden üzüntü duysak da, açık olmak istiyoruz: bu olay Premera’nın sistemlerini içermiyordu.”
Benzer şekilde Blue Cross ve Blue Shield of Texas Salı günü yaptıkları açıklamada ISMG’ye Conduent tarafından bazı üye verilerinin siber olaydan etkilendiği konusunda şirkete bilgi verildiğini söyledi. Açıklamada, “Conduent çeşitli kuruluşlara posta odası ve diğer hizmetler sağlıyor. BCBSTX sistemleri bu olaydan etkilenmedi. Üyelerimizi desteklemeye ve bu olay boyunca onlarla birlikte çalışmaya kararlıyız” dedi.
Diğer Soruşturmalar Sürüyor
Ancak Conduent hackini araştıran sadece hukuk firmaları değil.
Geçen ay, Montana eyaleti düzenleyicileri, Conduent hackinden etkilenen 462.000 Blue Cross Blue Shield of Montana üyesini etkileyen veri ihlalini de araştırdıklarını açıkladılar; sigorta şirketinin bireysel ihlal mağdurlarına bildirimde bulunmadan neden yaklaşık 10 ay geçtiği de dahil (bkz.: Montana Yetkilileri Satıcıyla Bağlantılı BCBS İhlalini Araştırıyor).
Conduent olayı, 2025’in en büyük sağlık verisi ihlali olarak sıralanabilir, ancak büyük olasılıkla devam eden federal kapatma nedeniyle ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın HIPAA ihlal raporlama web sitesinde Salı günü yayınlanmadı. Conduent, ihlalin sağlık sigortası şirketleri ve eyalet hükümetinin insan hizmetleri kurumlarının yanı sıra diğer sektörlerdeki müşterilerini etkileyip etkilemediğini açıklamadı.
Ana şirket Conduent Inc., veri güvenliği olayını Nisan ayında ABD Menkul Kıymetler ve Borsa Komisyonu’na bildirdi; Oklahoma gibi çeşitli eyaletlerdeki kurumların Conduent kesintisi nedeniyle bazı hizmetlerinin kesintiye uğradığına dair kendi kamu duyurularını yayınlamalarından aylar sonra.
Conduent, Nisan ayındaki SEC başvurusunda, 13 Ocak’ta operasyonel bir kesinti yaşadığını ve bir “tehdit aktörünün” şirket ortamının sınırlı bir kısmına yetkisiz erişim elde ettiğini öğrendiğini söyledi.
Web sitesinde yayınlanan bir ihlal bildiriminde, ele geçirilen dosyalarda yer alan kişisel bilgilerin potansiyel olarak isim, Sosyal Güvenlik numarası, tıbbi bilgiler ve sağlık sigortası bilgilerini içerdiği belirtildi. Conduent, “Her veri öğesi her birey için mevcut değildi” dedi.
Darkweb izleme platformu Ransomware.live, fidye yazılımı çetesi SafePay’in Şubat ayında karanlık web sitesinde Conduent’i kurbanlarından biri olarak listelediğini ve iddiaya göre şirketin çalınan 8,5 terabaytlık verisini yayınlamakla tehdit ettiğini tespit etti.
Conduent, Information Security Media Group’un davalar hakkında yorum yapma ve SafePay’in iddiaları da dahil olmak üzere bilgisayar korsanlığı olayıyla ilgili ek ayrıntılara ilişkin taleplerine hemen yanıt vermedi.
Fidye yazılımı konusunda nispeten yeni olan SafePay, Ocak ayında Kuzey Carolina patoloji muayenehanesi Marlboro-Chesterfield Patolojisi’ne yapılan saldırı da dahil olmak üzere sağlık sektörü kuruluşlarına yönelik diğer saldırılarla ilişkilendirildi (bkz.: NC Patoloji Uygulaması 236.000 Veri Hırsızlığı Saldırısını Bildiriyor).