Conduent Veri Sızıntısı Missouri'de Milyonları Etkiledi

Olay Özeti

Missouri eyaleti düzenleyici kurumları, milyonlarca Missouri vatandaşının hassas kişisel bilgilerini ifşa etmiş olabilecek büyük bir siber güvenlik ihlali nedeniyle teknoloji ve iş süreci hizmetleri devi Conduent üzerindeki baskıyı önemli ölçüde artırdı. 6 Mayıs 2026'da kamuoyuna yansıyan gelişmelere göre, Missouri Başsavcılığı, şirketin sızıntıya verdiği yanıtın yavaş ve yetersiz olduğunu belirterek resmi bir soruşturma başlattığını duyurdu. Bu durum, Conduent'in eyalet hükümetiyle olan sözleşmeleri ve veri güvenliği protokolleri hakkında ciddi endişelere yol açtı.

Olay, Conduent'in eyalet adına yönettiği çeşitli kamu hizmeti programlarıyla ilgili sistemlerdeki bir güvenlik açığından kaynaklanıyor. İlk belirlemelere göre, siber saldırganlar, şirketin altyapısındaki bir zafiyetten yararlanarak Mart 2026'nın başlarında ağa sızmayı başardı. Ancak ihlalin tam kapsamının ve şirketin bunu ne zaman fark ettiğinin kamuoyuna açıklanması haftalar sürdü. Düzenleyicilerin sabrını taşıran asıl nokta, Conduent'in etkilenen vatandaşlara ve eyalet yetkililerine zamanında ve şeffaf bilgi sağlama konusundaki başarısızlığı oldu. Missouri Başsavcısı, yaptığı açıklamada, "Missouri halkının kişisel verilerinin korunması en önemli önceliğimizdir. Conduent'in bu olayı ele alış biçimi, kabul edilemez düzeyde eksiklikler barındırmaktadır ve sorumluların hesap vermesini sağlayacağız" ifadelerini kullandı.

Sızdırılan Veriler ve Kapsam

Bu veri sızıntısının potansiyel etkisi endişe verici boyutlarda. Sızdırılan verilerin, Missouri eyaletinin sağlık, sosyal hizmetler ve işsizlik sigortası gibi kritik programlarından faydalanan milyonlarca kişiye ait olduğu düşünülüyor. Siber saldırganlar tarafından ele geçirildiği doğrulanan veya şüphelenilen bilgiler arasında son derece hassas veriler bulunmaktadır:

• Tam Ad ve Soyad: Kimlik tespiti için temel bilgi.
• Sosyal Güvenlik Numaraları (SSN): Kimlik hırsızlığı için en çok hedeflenen veri türüdür.
• Doğum Tarihleri ve Adres Bilgileri: Dolandırıcılık ve kimlik doğrulama süreçlerini atlatmak için kullanılır.
• Sürücü Belgesi Numaraları: Başka bir önemli kimlik belgesi verisi.
• Finansal Bilgiler: Banka hesap numaraları ve devlet yardımlarıyla ilişkili diğer finansal veriler.
• Tıbbi Bilgiler: Bazı durumlarda, Medicaid gibi programlara kayıtlı kişilerin korunan sağlık bilgileri (PHI).

Etkilenen kişi sayısının kesin rakamı henüz Conduent tarafından açıklanmamış olsa da, Missouri yetkilileri bu sayının birkaç milyonu bulabileceğini tahmin ediyor. Bu durum, sızıntıyı eyalet tarihindeki en büyük siber güvenlik olaylarından biri haline getiriyor. Verilerin bu denli çeşitli ve hassas olması, kurbanların kimlik hırsızlığı, mali dolandırıcılık ve hedefli oltalama (phishing) saldırıları gibi çok sayıda riske maruz kalmasına neden oluyor.

Saldırının Teknik Boyutu

Siber güvenlik uzmanlarının ilk analizlerine göre, saldırı karmaşık bir yöntemle gerçekleştirildi. Saldırganların, Conduent tarafından kullanılan bir üçüncü parti dosya aktarım yazılımındaki daha önce bilinmeyen bir "sıfır gün açığı" (zero-day vulnerability) kullandığı düşünülüyor. Sıfır gün açığı, yazılım geliştiricisinin haberdar olmadığı ve dolayısıyla henüz bir yama geliştirmediği bir güvenlik açığıdır. Bu tür zafiyetler, siber suçlular için son derece değerlidir çünkü tespit edilmeleri ve engellenmeleri zordur.

Saldırganlar, bu açıktan yararlanarak Conduent'in ağına yetkisiz erişim sağladıktan sonra, verileri yavaş yavaş ve fark edilmeden dışarı sızdırma (data exfiltration) tekniğini kullandılar. Bu süreç, verileri şifreleyip fidye talep eden tipik bir fidye yazılımı (ransomware) saldırısından farklı olarak, daha gizli ilerledi. Veriler çalındıktan sonra, saldırıyı gerçekleştiren grup, Conduent ile iletişime geçerek verileri karanlık ağda (dark web) satma tehdidinde bulundu ve fidye talep etti. Conduent'in bu talebe nasıl yanıt verdiği belirsizliğini koruyor ancak şirketin olayı kamuoyuna geç açıklaması, müzakere sürecinin veya iç soruşturmanın bir sonucu olabilir. Bu olay, büyük kuruluşların bile tedarik zinciri saldırılarına, yani iş ortakları veya kullandıkları yazılımlar üzerinden gelen tehditlere karşı ne kadar savunmasız olabileceğini bir kez daha gözler önüne seriyor.

Etkilenen Kullanıcılar Kimler

Bu sızıntıdan doğrudan etkilenme riski taşıyan grup oldukça geniş. Conduent, Missouri eyaleti için çok sayıda kritik hizmeti yönettiğinden, potansiyel kurbanlar arasında aşağıdaki gruplar yer almaktadır:

• Geçmişte veya güncel olarak Missouri Medicaid programından yararlananlar.
• Missouri eyaletinden işsizlik maaşı veya yardımı başvurusunda bulunanlar.
• Çocuk destek hizmetleri gibi sosyal yardım programlarına kayıtlı olan bireyler.
• Eyalet tarafından yönetilen diğer kamu hizmeti programlarından faydalanan vatandaşlar.

Eğer son birkaç yıl içinde Missouri eyaletiyle bu tür bir ilişkiniz olduysa, verilerinizin sızdırılmış olma ihtimali bulunmaktadır. Yetkililer, Conduent'in etkilenen tüm bireylere doğrudan bildirimde bulunmasını zorunlu kıldı, ancak bu sürecin ne zaman tamamlanacağı henüz net değil.

Ne Yapmalısınız

Verilerinizin bu sızıntıdan etkilenmiş olabileceğinden endişe ediyorsanız, kimliğinizi ve finansal bilgilerinizi korumak için hemen atabileceğiniz adımlar bulunmaktadır:

1. Kredi Raporlarınızı Kontrol Edin: Equifax, Experian ve TransUnion gibi üç büyük kredi bürosundan ücretsiz kredi raporlarınızı talep edin. Şüpheli veya tanımadığınız hesapları kontrol edin.

2. Kredi Dondurma veya Dolandırıcılık Uyarısı Koyun: Kredi raporlarınıza erişimi kısıtlamak için bir kredi dondurma (credit freeze) işlemi başlatın. Bu, dolandırıcıların adınıza yeni kredi hesapları açmasını büyük ölçüde engeller. Alternatif olarak, kredi raporunuza bir dolandırıcılık uyarısı (fraud alert) ekleyebilirsiniz.

3. Finansal Hesaplarınızı Gözlemleyin: Banka ve kredi kartı ekstrelerinizi düzenli olarak inceleyin. Herhangi bir şüpheli işlem gördüğünüzde derhal bankanızla iletişime geçin.

4. Şifrelerinizi Değiştirin: Özellikle finansal ve e-posta hesaplarınız başta olmak üzere, önemli çevrimiçi hesaplarınızın şifrelerini güçlü ve benzersiz parolalarla güncelleyin.

5. Oltalama (Phishing) Saldırılarına Karşı Dikkatli Olun: Siber suçlular, çalınan bilgileri kullanarak sizi arayabilir veya e-posta gönderebilirler. Bu tür iletişimlerde asla kişisel bilgilerinizi veya şifrelerinizi paylaşmayın. Resmi kurumlar sizden bu bilgileri e-posta yoluyla istemez.

Şirketin Açıklaması

Missouri düzenleyicilerinin artan baskısı karşısında Conduent, kısa bir kamuoyu açıklaması yayınladı. Açıklamada, "Yakın zamanda bir siber güvenlik olayı yaşadığımızı tespit ettik. Derhal önde gelen siber güvenlik firmalarıyla çalışarak bir soruşturma başlattık ve olayın etkisini kontrol altına almak için adımlar attık. Kolluk kuvvetleriyle tam bir işbirliği içindeyiz ve müşterilerimizin verilerini koruma taahhüdümüzü sürdürüyoruz" denildi. Ancak bu açıklama, Missouri Başsavcılığı tarafından yetersiz olarak nitelendirildi. Yetkililer, şirketin olayın kapsamı, etkilenen kişi sayısı ve kurbanlara sunulacak koruma hizmetleri (kimlik hırsızlığı sigortası gibi) hakkında net bilgi vermediğini vurguladı. Önümüzdeki günlerde Conduent'e yönelik yasal ve mali yaptırımların artması bekleniyor.

Kaynak

https://databreaches.net/2026/05/06/missouri-regulators-escalate-pressure-on-conduent-over-data-breach-potentially-affecting-millions/?pk_campaign=feed&pk_kwd=missouri-regulators-escalate-pressure-on-conduent-over-data-breach-potentially-affecting-millions