Perusahaan teknologi informasi kesehatan TriZetto Provider Solutions mengungkap terjadinya insiden kebocoran data yang memengaruhi lebih dari 3,4 juta individu. Perusahaan yang mengembangkan perangkat lunak serta layanan untuk perusahaan asuransi kesehatan dan penyedia layanan medis tersebut melaporkan bahwa informasi sensitif milik jutaan orang sempat diakses oleh pihak tidak berwenang melalui sebuah portal web internal.
TriZetto, yang sejak 2014 beroperasi di bawah naungan perusahaan teknologi Cognizant, menyatakan bahwa aktivitas mencurigakan pertama kali terdeteksi pada 2 Oktober 2025. Setelah menemukan indikasi tersebut, perusahaan segera memulai penyelidikan internal dengan melibatkan pakar keamanan siber eksternal untuk mengidentifikasi sumber dan ruang lingkup insiden.
Hasil investigasi menunjukkan bahwa akses tidak sah terhadap sistem perusahaan ternyata telah berlangsung jauh lebih lama dari yang diperkirakan sebelumnya. Analisis forensik menemukan bahwa pelaku ancaman telah memperoleh akses sejak 19 November 2024, hampir satu tahun sebelum aktivitas tersebut akhirnya terdeteksi oleh sistem keamanan perusahaan. Selama periode tersebut, pihak yang tidak berwenang dapat mengakses sejumlah catatan transaksi yang berkaitan dengan proses verifikasi kelayakan asuransi kesehatan.
Transaksi verifikasi kelayakan ini merupakan bagian penting dari alur administrasi layanan kesehatan. Rumah sakit, klinik, dan penyedia layanan medis biasanya menggunakan proses tersebut untuk memastikan bahwa pasien memiliki cakupan asuransi yang valid sebelum tindakan medis dilakukan. Catatan transaksi tersebut dapat memuat berbagai informasi administratif yang digunakan dalam proses konfirmasi antara penyedia layanan kesehatan dan perusahaan asuransi.
Menurut pengungkapan resmi perusahaan, jenis informasi yang terekspos tidak sama pada setiap individu. Namun data yang dapat diakses oleh pelaku ancaman mencakup sejumlah kategori informasi pribadi yang sensitif. Di antaranya termasuk nama lengkap, alamat tempat tinggal, tanggal lahir, nomor identifikasi jaminan sosial, nomor keanggotaan asuransi kesehatan, serta identifier penerima manfaat Medicare. Selain itu, beberapa catatan juga memuat nama penyedia layanan kesehatan, nama perusahaan asuransi, serta berbagai informasi demografis, kesehatan, dan asuransi terkait individu yang bersangkutan.
Skala kebocoran data ini tergolong signifikan. Berdasarkan dokumen pengungkapan yang disampaikan kepada Kantor Jaksa Agung Negara Bagian Maine di Amerika Serikat, jumlah individu yang terdampak mencapai 3.433.965 orang. Angka tersebut menempatkan insiden ini sebagai salah satu kebocoran data besar yang melibatkan perusahaan penyedia layanan teknologi kesehatan.
TriZetto menyatakan bahwa meskipun berbagai informasi pribadi berhasil diakses oleh pelaku ancaman, perusahaan tidak menemukan indikasi bahwa data keuangan seperti informasi kartu pembayaran, nomor rekening bank, atau detail finansial lainnya turut terekspos dalam insiden ini. Perusahaan juga menyampaikan bahwa hingga saat ini belum ada bukti yang menunjukkan bahwa data yang dicuri telah digunakan oleh pelaku kejahatan siber untuk melakukan penyalahgunaan identitas atau aktivitas kriminal lainnya.
Meski demikian, perusahaan tetap mengambil sejumlah langkah mitigasi untuk mengurangi potensi risiko terhadap individu yang terdampak. Salah satu langkah yang diambil adalah memberikan layanan pemantauan kredit dan perlindungan identitas selama 12 bulan secara gratis bagi para penerima notifikasi. Layanan tersebut disediakan melalui perusahaan manajemen risiko Kroll, yang dikenal menyediakan solusi perlindungan identitas bagi korban kebocoran data.
Proses pemberitahuan kepada organisasi penyedia layanan kesehatan yang terdampak dilakukan pada 9 Desember 2025. Namun notifikasi langsung kepada individu yang datanya mungkin terekspos baru mulai dikirimkan pada awal Februari 2026. Jeda waktu beberapa bulan antara deteksi insiden dan pemberitahuan kepada konsumen ini menimbulkan pertanyaan mengenai proses investigasi internal yang dilakukan perusahaan sebelum pengungkapan publik dilakukan.
Sejumlah media teknologi mencoba meminta klarifikasi tambahan mengenai detail insiden tersebut, termasuk mengenai penyebab keterlambatan pemberitahuan kepada konsumen. Hingga laporan tersebut dipublikasikan, pihak TriZetto belum memberikan tanggapan lebih lanjut mengenai pertanyaan tersebut.
Sampai saat ini juga belum ada kelompok ransomware yang secara terbuka mengklaim bertanggung jawab atas serangan tersebut. Selain itu, para peneliti keamanan belum menemukan indikasi bahwa data yang terkait dengan TriZetto telah dipublikasikan atau diperjualbelikan di forum bawah tanah atau pasar gelap digital yang sering digunakan untuk mendistribusikan data hasil kebocoran.
Absennya klaim dari kelompok ransomware membuat sifat serangan ini masih belum sepenuhnya jelas. Dalam banyak kasus kebocoran data besar, kelompok penyerang biasanya mempublikasikan data korban sebagai bentuk tekanan untuk memaksa pembayaran tebusan. Namun hingga saat ini tidak ada bukti bahwa pendekatan semacam itu digunakan dalam insiden yang melibatkan TriZetto.
Cognizant, perusahaan induk TriZetto, sebelumnya juga pernah dikaitkan dengan beberapa insiden keamanan siber dalam beberapa tahun terakhir. Pada tahun 2020, perusahaan tersebut sempat menjadi bahan rumor terkait kemungkinan serangan ransomware yang dikaitkan dengan kelompok Maze. Meski demikian, detail lengkap mengenai insiden tersebut tidak pernah sepenuhnya dipublikasikan secara terbuka.
Pada tahun 2025, Cognizant kembali menjadi sorotan setelah perusahaan produk konsumen Clorox mengajukan gugatan hukum yang menuduh perusahaan IT tersebut melakukan kelalaian serius dalam pengelolaan keamanan jaringan. Gugatan tersebut berkaitan dengan serangan rekayasa sosial yang terjadi pada September 2023, yang diduga memungkinkan kelompok peretas Scattered Spider memperoleh akses ke jaringan perusahaan.
Dalam konteks industri teknologi kesehatan, insiden yang melibatkan TriZetto kembali menyoroti sensitivitas data yang diproses oleh perusahaan penyedia infrastruktur digital untuk sektor medis dan asuransi. Sistem yang digunakan untuk memproses verifikasi kelayakan asuransi dan administrasi layanan kesehatan biasanya menyimpan berbagai informasi pribadi yang sangat bernilai bagi pelaku kejahatan siber.
Data seperti nomor identifikasi jaminan sosial, informasi asuransi kesehatan, serta catatan demografis memiliki nilai tinggi di pasar gelap digital karena dapat digunakan untuk berbagai bentuk penyalahgunaan identitas. Selain itu, kombinasi informasi pribadi dan administratif juga dapat dimanfaatkan dalam skema penipuan yang menargetkan sistem layanan kesehatan atau klaim asuransi.
TriZetto menyatakan bahwa setelah insiden ini terungkap, perusahaan telah mengambil langkah tambahan untuk memperkuat keamanan sistem yang mereka operasikan. Perusahaan juga melaporkan insiden tersebut kepada otoritas penegak hukum yang relevan sebagai bagian dari proses penanganan insiden.
Meskipun belum ada indikasi penyalahgunaan data hingga saat ini, insiden tersebut menunjukkan bagaimana akses tidak sah yang berlangsung dalam jangka waktu panjang dapat terjadi tanpa segera terdeteksi. Dalam kasus ini, aktivitas penyerang berlangsung hampir satu tahun sebelum akhirnya ditemukan oleh sistem pemantauan keamanan perusahaan.
Bagi organisasi yang mengelola data sensitif dalam skala besar, insiden semacam ini sering menjadi pengingat mengenai pentingnya pemantauan sistem secara berkelanjutan serta deteksi aktivitas anomali dalam jaringan internal. Ketika akses tidak sah dapat bertahan dalam waktu lama tanpa terdeteksi, ruang lingkup data yang dapat terekspos biasanya meningkat secara signifikan.
Dengan lebih dari 3,4 juta individu terdampak, kebocoran data TriZetto menjadi salah satu insiden besar yang kembali menyoroti risiko keamanan dalam ekosistem teknologi informasi sektor kesehatan. Hingga saat ini penyelidikan mengenai bagaimana pelaku ancaman memperoleh akses awal ke sistem perusahaan masih belum diungkap secara rinci kepada publik.