Kiszivárgott érzékeny adatok
Az adatszivárgás során a támadók különböző, biztosítási jogosultságokat ellenőrző tranzakciókkal kapcsolatos nyilvántartásokhoz fértek hozzá – ezek a betegbiztosítás érvényességének kezeléséhez szükségesek. Az érintettek adataiban többek között teljes név, lakcím, születési dátum, társadalombiztosítási szám, biztosítási azonosító, Medicare-azonosító, ellátó és biztosító neve, valamint különféle egészségügyi és demográfiai információk szerepelhettek.
Késve értesítették az ügyfeleket
A szolgáltatókat 2025. december 9-én értesítették, a páciensek tájékoztatása azonban csak 2026. február elején kezdődött. Maine állam főügyésze szerint pontosan 3 433 965 ember érintett. Lényeges hangsúlyozni, hogy fizetési kártyákat vagy bankszámlaadatokat nem érintett a támadás, és nem tudni olyan esetről sem, ahol visszaéltek volna a megszerzett információkkal.
További fejlemények és intézkedések
A TriZetto a hatóságokat is tájékoztatta, és jelentősen megerősítette kiberbiztonsági rendszereit. Az érintetteknek ingyenes, 12 hónapig tartó hitel- és személyazonosság-védelmi szolgáltatást kínálnak a lehetséges kockázatok mérséklésére. Egyelőre semmilyen kiberbűnözői csoport nem vállalta magára a támadást, és a kiszivárgott adatok sem bukkantak fel az alvilági fórumokon.
Előzmények és jogi következmények
A Cognizant nem először keveredik hasonló ügybe: 2020-ban is súlyos, Maze típusú zsarolóvírushoz köthető adatszivárgást szenvedett el, 2025 júniusában pedig gondatlan adatvédelem miatt folyt ellene per, miután 2023 szeptemberében a Scattered Spider nevű banda társadalmi mérnökséggel jutott be a rendszerébe.
Összességében elmondható, hogy a TriZetto esete rávilágít arra, mennyire sérülékeny az egészségügyi szektor kiberbiztonsága, és milyen súlyos személyes következményekkel járhat a késleltetett tájékoztatás.
