Conduent 数据泄露事件——美国历史上最大规模数据泄露,勒索软件组织窃取 8TB 数据
Conduent 数据泄露通知信已发送给数百万用户,勒索软件组织声称在美国最大的数据泄露事件之一中窃取了 8 TB 的数据。 本月开始,受影响的个人陆续收到信件,信中详细介绍了 Conduent Business Services, LLC 发生的一起重大数据泄露事件。Conduent Business Services, LLC 是一家政府技术承包商,为全国各地的客户处理付款、医疗保健索赔和后台服务。
Conduent 数据泄露通知信已发送给数百万用户,勒索软件组织声称在美国最大的数据泄露事件之一中窃取了 8 TB 的数据。
本月开始,受影响的个人陆续收到信件,信中详细介绍了 Conduent Business Services, LLC 发生的一起重大数据泄露事件。Conduent Business Services, LLC 是一家政府技术承包商,为全国各地的客户处理付款、医疗保健索赔和后台服务。
该公司证实,在2024年末至2025年初的近三个月时间里,未经授权的第三方访问了其系统,窃取了包含数千万美国人个人信息的文件。此次数据泄露事件最初由Conduent在2025年4月提交给美国证券交易委员会的文件中公开披露,但其影响范围已迅速扩大。
最近的州监管报告显示,仅在德克萨斯州就有至少 1540 万人受到影响(高于最初估计的 400 万人),而早前的备案文件显示,俄勒冈州有 1050 万人受到影响,其他州还有数十万人受到影响。
多家媒体估计,受影响的总人数超过 2500 万人,使其成为 2025 年披露的最大数据泄露事件之一,也是美国历史上最大的医疗保健和政府相关事件之一——尽管仍然小于 2024 年 Change Healthcare 数据泄露事件,该事件影响了近 1.93 亿人。
勒索软件组织声称对此负责
Safepay (在一些报道中也称为 SafePay 或 Safeway)勒索软件组织在事件发生后不久便声称对此负责。
该组织于 2025 年初在其暗网泄露网站上发布消息称,他们窃取了超过 8 TB(一些说法称是 8.5 TB)的数据,其中包括姓名、社会保障号码、地址、病史、健康保险详情和其他敏感记录。
Conduent 尚未证实勒索软件的说法或被盗数据的确切数量,但已承认客户相关文件被窃取。
事件时间线
- 2024 年 10 月 21 日至 2025 年 1 月 13 日:未经授权访问 Conduent 网络的部分内容。
- 2025年1月13日:Conduent公司发现网络安全事件,导致政府服务(包括邮件收发、支付处理和福利管理)暂时中断。该公司迅速聘请第三方取证专家控制了此次事件,并在数日内恢复了系统,同时通知了执法部门。
- 2025年4月9日,Conduent向美国证券交易委员会提交了8-K文件(鉴于持续的通知,此处引用的是“旧的违规事件SEC文件”),其中指出,一名“威胁行为者”窃取了与少数客户相关的文件。由于文件内容复杂,该公司聘请了数据挖掘专家。Conduent确认,这些数据集包含“大量与我们客户最终用户相关的个人信息”。该文件指出,当时并未对公司运营造成重大影响,也没有数据在暗网上公开泄露,但该公司因潜在的通知事宜而产生了“重大的非经常性支出”,并维持了网络保险。
- 2025年末至2026年2月:Conduent公司代表其客户(政府机构和私营实体)开始向受影响的个人发出通知。该公司预计将于2026年4月中旬完成消费者通知工作。
提供给受影响人员的通知信样本部分内容如下:
“2025年1月13日,我们发现自身遭受了一起网络安全事件,该事件影响了我们网络的有限部分。……未经授权的第三方于2024年10月21日至2025年1月13日期间访问了我们的环境,并获取了与<<客户名称>>相关的部分文件。……受影响的文件包含您的姓名以及以下信息:<<数据元素>>。目前,我们没有任何证据或迹象表明您的个人信息遭到实际或企图滥用。”
Conduent强调,他们并未发现任何滥用行为,目前已恢复系统并通知了有关部门。信中指示收件人监控信用报告,查阅随附的“保护信息安全指南”,并拨打专门的帮助热线855-291-2608。
公司应对措施及成本
Conduent 在最初向美国证券交易委员会披露时表示,运营未受到重大影响,但后来的文件提到,与应对和通知相关的非经常性成本约为 2500 万美元(截至 2025 年第一季度估计)。
该公司继续与客户合作,确保符合监管要求并进行个别通知。德克萨斯州总检察长肯·帕克斯顿于2026年2月启动了一项调查,称该事件可能是美国历史上最大的医疗保健数据泄露事件之一。除监管文件外,Conduent尚未就勒索软件组织的说法发表公开评论。
受影响的个人应该怎么做
该公司建议公众对身份盗窃和欺诈保持警惕。建议采取的措施包括:
- 监控信用报告和账户是否存在可疑活动。
- 向主要信用机构发出欺诈警报或冻结信用。
- 使用强度高、独一无二的密码并启用多因素身份验证。
- 警惕以数据泄露事件为幌子的网络钓鱼攻击。
Conduent公司表示,对由此造成的不便深表歉意,并已设立呼叫中心解答疑问。这一事件的进展凸显了第三方服务提供商对敏感的政府和医疗保健数据构成的风险。
随着通知工作的继续开展和调查的深入,事件的全部范围以及任何潜在的数据泄露情况可能会在未来几周内更加明朗。受影响的个人应查看州检察长办公室的官方数据泄露门户网站,或使用通知信中的信息直接联系 Conduent 公司,以获取最新信息。
关于作者
评论2次
这数据泄露了,那个人也没办法预防啊
### 结论 Conduent事件本质是第三方服务商因权限管控失效与日志监控不足导致的长时间横向渗透攻击。攻击面集中在政府机构数据中转xi统,Sink点为存储敏感数据的文件服务器集群,源威胁为勒索软件团伙利用弱凭证或过期API密钥突破外围防御,最终通过内网横向移动实现大规模数据窃取。 --- ### 分析路径(T00ls方法论) #### **L1 攻击面识别** 1. **暴露面** - 政府客户xi统的接口(如支付处理/福利管理API) - 第三方服务商Conduent的文件服务器集群(存储SSN/医疗记录等) - 跨机构数据中转节点(如SFTP服务器或数据库代理) 2. **关键漏洞假设** - 弱凭据(如默认密码的数据库账户) - 过期的API密钥未及时轮换 - 未修复的远程代码执行漏洞(RCE) --- #### **L2 假设与验证** **假设1:攻击始于过期API密钥泄露** - **验证路径**: 1. 检查Conduent事件响应报告中提及的「未经授权的第三方访问时间窗口」(2024/10/21-2025/1/13)的API请求日志,确认是否存在异常的高频率访问。 2. 比对被窃取数据的存储路径与公开API文档中的敏感端点是否关联。 **假设2:横向移动依赖特权账户滥用** - **验证路径**: 1. 审计受损xi统的本地管理员账户登录记录,寻找异常时段的非授权访问。 2. 检查域控制器或跳板机的Kerberos票证日志,确认是否存在黄金票据或票据传递攻击痕迹。 --- #### **L3 边界/异常场景** 1. **数据聚合点风险** - Conduent作为政府机构的集中数据处理方,其内部文件服务器可能未实施数据防泄露(DLP)规则,导致攻击者可直接拖取包含SSN等字段的完整数据集。 - **验证点**:检查文件服务器的访问日志,确认是否存在单次传输超过阈值(如100GB)的批量操作。 2. **日志监控盲区** - 事件发现时间(2025/1/13)与攻击开始时间(2024/10/21)间隔超2个月,表明内部监控xi统未检测到长期静默横向渗透。 - **验证点**:审查SIEM/SOARxi统的告警规则,确认是否缺少对连续低频高敏感操作(如每小时导出1GB文件)的聚合分析能力。 --- #### **L4 防御反推与修复建议** **修复优先级** 1. **加固第三方访问边界** - 强制双因素认证(MFA)于所有外部API访问,禁用静态API密钥(改用短期JWT令牌)。 - 部署零信任架构,要求每个API请求均需动态授权(如基于OAuth的细粒度权限控制)。 2. **数据流动监控** - 在文件服务器和数据库层实施DLP规则,对包含SSN/医疗记录的字段设置实时告警(如单次导出超过10万条记录)。 - 采用数据标记化(Tokenization)技术,将敏感数据替换为不可逆的随机字符串。 3. **日志与响应能力提升** - 部署EDR(端点检测响应)xi统,实时监控内存异常行为(如勒索软件常用的进程注入)。 - 建立跨xi统日志关联分析机制,例如将特权账号登录与文件操作日志进行时间轴匹配。 --- ### 最小可执行验证步骤(针对信息缺失部分) 若需进一步分析攻击路径,需以下数据: 1. Conduent网络拓扑图(标识暴露的API端口、DMZ区与内网边界)。 2. 勒索软件团伙发布的数据样本(确认是否包含特定加密算法或水印痕迹)。 3. 事件响应团队的内存取证报告(检查是否存在内存 resident 的webshell或C2通信记录)。 若无上述数据,可从公开信息推导: - 通过分析德克萨斯州1540万人受影响的地域特征,逆向关联Conduent为该州哪个政府xi统提供服务(如医疗补助计划管理),定位具体受损业务模块。