Logo Conduent trên Sở Giao dịch Chứng khoán New York (NYSE). Ảnh Conduent.

Sự cố chỉ được phát hiện sau khi tin tặc xâm nhập đến 3 tháng

Theo thông báo của Conduent, tin tặc đã đột nhập hệ thống từ khoảng ngày 21/10/2024, đánh cắp dữ liệu liên quan tới các chương trình Medicaid, hỗ trợ trẻ em, trợ cấp thực phẩm và dịch vụ thu phí đường bộ.

Tuy nhiên, phải đến 13/1/2025, công ty mới phát hiện dấu hiệu xâm nhập sau khi hệ thống gặp “gián đoạn vận hành”, làm tê liệt nhiều dịch vụ tại các bang. Điều tra nội bộ cho thấy một “đối tượng đe dọa” đã truy cập trái phép vào một phần môi trường CNTT của doanh nghiệp.

Ngay sau đó, Conduent thuê chuyên gia an ninh mạng độc lập, phối hợp cơ quan thực thi pháp luật, kích hoạt quy trình ứng phó sự cố, cắt quyền truy cập của tin tặc và khôi phục các hệ thống bị ảnh hưởng. Công ty khẳng định chưa phát hiện hoạt động bất thường mới.

Tuy nhiên, dữ liệu nhạy cảm đã bị truy cập, bao gồm họ tên, ngày sinh, số an sinh xã hội (SSN), hồ sơ y tế và thông tin bảo hiểm. “Không phải người nào cũng bị lộ đầy đủ toàn bộ mục dữ liệu”, Conduent cho biết.

Các bang chịu ảnh hưởng gồm: Texas, Washington, South Carolina, New Hampshire, Maine, Oregon, Massachusetts và California. Nhiều tổ chức bảo hiểm y tế lớn bị ảnh hưởng như Blue Cross Blue Shield Texas, Blue Cross Blue Shield Montana, Humana, Premera Blue Cross và Sở Gia đình & Trẻ em Wisconsin.

Trong khi đó, cơ quan nhân lực Oklahoma khẳng định dữ liệu của họ không bị ảnh hưởng.

Dù quy mô rò rỉ rất lớn, Conduent không đề cập tới việc hỗ trợ giám sát tín dụng hay bảo vệ danh tính, biện pháp mà nhiều tổ chức Mỹ thường cung cấp sau các sự cố tương tự. Riêng công ty bảo hiểm y tế Mỹ Premera đã thông báo cung cấp miễn phí 2 năm gói bảo vệ danh tính cho người dùng chịu ảnh hưởng.

Nhóm ransomware SafePay nhận trách nhiệm

Tháng 2/2025, nhóm ransomware SafePay tuyên bố đứng sau vụ tấn công, đăng tên Conduent lên trang rò rỉ dữ liệu và khẳng định đã đánh cắp 8,5 TB dữ liệu. Tuy nhiên, thông tin này sau đó bị gỡ xuống, dấu hiệu thường cho thấy nạn nhân đã trả tiền chuộc để ngăn dữ liệu bị công bố.

Conduent vẫn chưa trả lời các yêu cầu cung cấp thêm thông tin chi tiết về sự cố tấn công mạng, bao gồm số lượng khách hàng bị ảnh hưởng, những kẻ tấn công có đánh cắp dữ liệu khách hàng hay không và có gửi yêu cầu đòi tiền chuộc hay không.

Ngoài ra, công ty vẫn chưa đưa ra tuyên bố công khai hoặc nộp báo cáo 8-K cho Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) để thông báo về vụ xâm phạm này.

Conduent cho biết chưa có bằng chứng tin tặc sử dụng dữ liệu để gian lận.

Conduent đối mặt với gần 10 vụ kiện tập thể và điều tra liên bang

Hiện nay, công ty phải đối mặt với 10 đơn kiện tập thể tại Tòa án liên bang quận New Jersey, cáo buộc không bảo vệ dữ liệu đúng chuẩn, phản hồi chậm trễ và trễ gần 10 tháng mới thông báo cho nạn nhân.

Các nguyên đơn cho rằng vụ rò rỉ khiến họ đối diện nguy cơ lừa đảo tài chính, đánh cắp danh tính. Việc gián đoạn hệ thống còn khiến nhiều người không thể nộp tiền cấp dưỡng nuôi con, dẫn đến nguy cơ vi phạm lệnh tòa.

Conduent cũng đang bị Bộ Y tế & Dịch vụ Nhân sinh Mỹ (HHS) – Văn phòng Quyền công dân (OCR) và nhiều tổng chưởng lý các bang điều tra khả năng vi phạm Quy tắc Bảo mật HIPAA và các luật bảo vệ người tiêu dùng.

Dù tuyên bố “không chịu ảnh hưởng nghiêm trọng”, Conduent đã chi 9 triệu USD cho ứng phó sự cố và dự kiến chi thêm 16 triệu USD trước quý I/2026. Công ty có bảo hiểm mạng để bù đắp một phần chi phí, nhưng vẫn dự báo đối mặt với thiệt hại về uy tín, chi phí pháp lý và nguy cơ bị phạt.

An Lâm (Theo CPO Magazine)