Um ataque cibernético de ransomware contra a Conduent, uma das maiores contratadas do governo dos Estados Unidos, resultou no vazamento de dados pessoais de pelo menos 25 milhões de pessoas. A empresa, que presta serviços de processamento de documentos e pagamentos para programas de benefícios estaduais e corporativos, foi alvo do ataque em janeiro de 2025, mas tem divulgado poucas informações sobre o incidente.
O vazamento comprometeu informações sensíveis, incluindo nomes, datas de nascimento, endereços, números de Seguro Social, dados de planos de saúde e informações médicas dos indivíduos afetados. A Conduent afirma que seus serviços de tecnologia e suporte operacional alcançam mais de 100 milhões de pessoas nos EUA.
Estados mais afetados e falta de transparência
Um levantamento feito com base em notificações de violação de dados enviadas a diferentes estados revela a dimensão do problema. Oregon e Texas concentram a maioria dos afetados, com 10,5 milhões e 15,4 milhões de pessoas, respectivamente. Outras centenas de milhares de indivíduos em Massachusetts, New Hampshire e Washington também tiveram seus dados expostos.
A empresa tem sido criticada pela falta de transparência. Uma página em seu site intitulada "Aviso de Incidente", publicada em outubro de 2025, não menciona explicitamente o ataque cibernético. Além disso, a página contém uma tag "noindex" em seu código-fonte, que instrui mecanismos de busca a não listá-la nos resultados, dificultando que pessoas afetadas encontrem a informação.
Comparação com outros grandes vazamentos
O incidente na Conduent é considerado um dos maiores vazamentos de dados já registrados, embora provavelmente fique atrás do ataque à Change Healthcare em fevereiro de 2024, que afetou mais de 190 milhões de pessoas. Naquele caso, uma gangue de ransomware de língua russa roubou credenciais de acesso não protegidas por autenticação multifator, levando a empresa de tecnologia da saúde a pagar ao menos dois resgates para tentar conter a disseminação dos dados.
Questionado pela imprensa, o porta-voz da Conduent, Sean Collins, se recusou a informar quantas notificações a empresa já enviou ou o motivo para esconder o aviso do incidente dos mecanismos de busca.
Próximos passos e contexto
Especialistas em segurança cibernética alertam que vazamentos dessa magnitude, envolvendo dados de saúde e identificação pessoal, criam um risco significativo de roubo de identidade e fraudes financeiras para as vítimas por anos. A Conduent, que fornece serviços críticos para a administração pública, agora enfrenta escrutínio sobre seus protocolos de segurança e deverá lidar com possíveis ações judiciais e investigações regulatórias.
O incidente ocorre em um momento de aumento global de ataques de ransomware contra infraestruturas críticas e grandes corporações, pressionando governos e empresas a reforçarem suas defesas cibernéticas.