Um ataque de ransomware contra a Conduent, empresa de tecnologia que presta serviços a órgãos governamentais e companhias privadas nos Estados Unidos, pode ter exposto dados pessoais de mais de 25 milhões de americanos, segundo informações atualizadas divulgadas por autoridades estaduais e veículos especializados em tecnologia.
A invasão cibernética teve início em outubro de 2024 e só foi totalmente contida em janeiro de 2025, mas a real dimensão do vazamento vem sendo revelada de forma gradual ao longo dos últimos meses. Inicialmente, a Conduent informou que cerca de 10 milhões de pessoas poderiam ter sido afetadas. No entanto, novos relatórios elevaram significativamente esse número.
De acordo com o site TechCrunch, apenas no estado do Texas o total de pessoas impactadas saltou de aproximadamente 4 milhões para 15,4 milhões. Já a Procuradoria-Geral do Oregon comunicou que mais de 10 milhões de residentes do estado tiveram informações comprometidas. Além disso, a empresa notificou “centenas de milhares” de moradores em estados como Delaware, Massachusetts, New Hampshire e outros.
O ataque foi reivindicado pelo grupo de ransomware SafePay, que afirma ter roubado mais de 8 terabytes de dados durante a invasão aos sistemas da empresa. A Conduent confirmou, em documentos enviados à Comissão de Valores Mobiliários dos Estados Unidos (SEC), que os conjuntos de dados acessados continham um “número significativo de informações pessoais” de usuários finais ligados a seus clientes, tanto do setor público quanto do setor privado.
Entre os dados potencialmente expostos estão nomes completos, números do Seguro Social, informações médicas e dados relacionados a programas governamentais, já que a Conduent atua em áreas como faturamento médico, cobrança de pedágios e processamento de cartões pré-pagos de benefícios públicos.
Segundo a empresa, o processo de análise dos arquivos comprometidos foi demorado devido à complexidade e ao grande volume de dados envolvidos. A Conduent afirma que trabalha em conjunto com seus clientes para cumprir todas as exigências legais de notificação às vítimas e às autoridades reguladoras. As comunicações começaram em outubro de 2025 e devem ser concluídas no início de 2026.
Em nota enviada à FOX Business, a companhia declarou que espera concluir o envio de todas as notificações aos consumidores até 15 de abril, além de ter criado um call center exclusivo para esclarecer dúvidas dos afetados. A empresa também afirmou que, até o momento, não há evidências de uso indevido das informações vazadas.
A Conduent diz ainda que monitora regularmente a dark web, em parceria com especialistas externos em segurança cibernética, e que não encontrou indícios de que os dados tenham sido divulgados publicamente. Mesmo assim, especialistas alertam que vazamentos dessa magnitude representam riscos prolongados, incluindo fraude financeira e roubo de identidade, e podem gerar impactos por anos.
O caso reforça as preocupações crescentes sobre a segurança de dados em empresas que operam infraestruturas críticas e serviços essenciais, especialmente aquelas que lidam com informações sensíveis de milhões de cidadãos.