State of Colorado Department of Human Services, Division of Child Support Services Provides Notice of MOVEit Data Security Incident
This notice was originally posted by Maximus Human Services, Inc., on its website.
Maximus Human Services, Inc. (Maximus) is providing notice of an incident that may affect certain individuals’ information.
Maximus is a contractor to the Colorado Department of Human Services, Division of Child Support Services (the “Department”) and provides services to support certain government programs including the State Directory of New Hires. Individuals’ information may have been involved because the Department uses Maximus services to collect information employers are legally mandated to report to the Department and other Child Support Service divisions throughout the country.
The incident involved a critical vulnerability in “MOVEit Transfer,” a third-party computer software application provided by Progress Software Corporation (Progress). Maximus is among the many organizations in the United States and globally impacted by the MOVEit vulnerability.
On May 30, 2023, Maximus detected unusual activity in its MOVEit environment; Maximus promptly began to investigate with the help of nationally recognized cybersecurity experts and took the MOVEit environment offline early on May 31, 2023, and applied vendor-recommended actions to address the previously unknown vulnerability. Maximus continues to enhance its cybersecurity program to safeguard from cyber threats.
Maximus promptly notified the Department of the incident and has been working with them since notification. The investigation determined that between approximately May 27 to 31, 2023, an unauthorized party obtained copies of certain computer files saved in Maximus’ MOVEit environment. Following further review of the files, Maximus determined that those files contained some personal information. Maximus communicated this to the Department on July 20, 2023. The information involved may include name, Social Security Number, address, and date of birth.
Maximus is offering two years of complimentary credit monitoring, identity restoration, and fraud detection services through Experian at no cost to potentially affected individuals. As good practice, it is recommended that individuals regularly monitor account statements and monitor free credit reports. If individuals identify suspicious activity, it is recommended that they contact the company that maintains the account on individuals’ behalf.
Maximus takes the privacy and security of personal information very seriously and regrets that this incident occurred.
Individuals with questions or concerns should contact Maximus at (833) 919-4749 toll-free Monday through Friday from 8 am – 10 pm Central, or Saturday and Sunday from 10 am – 7 pm Central (excluding major U.S. holidays) and, if you received a notification letter in the mail, be prepared to provide the engagement number provided in that letter.
Departamento de Servicios Humanos del Estado de Colorado, División de Servicios de Manutención de Niños proporciona un aviso de incidente de seguridad de datos de MOVEit
Este aviso fue publicado originalmente por Maximus Human Services, Inc., en su sitio web.
La versión en español fue traducida por Google Translate.
Maximus Human Services, Inc. (Maximus) notifica un incidente que puede afectar la información de ciertas personas.
Maximus es un contratista del Departamento de Servicios Humanos de Colorado, División de Servicios de Manutención de Niños (el "Departamento") y brinda servicios para respaldar ciertos programas gubernamentales, incluido el Directorio Estatal de Nuevos Empleados. La información de las personas puede haber estado involucrada porque el Departamento utiliza los servicios de Maximus para recopilar información que los empleadores tienen la obligación legal de informar al Departamento ya otras divisiones del Servicio de Manutención de Niños en todo el país.
El incidente involucró una vulnerabilidad crítica en "MOVEit Transfer", una aplicación de software de computadora de terceros proporcionada por Progress Software Corporation (Progress). Maximus se encuentra entre las muchas organizaciones en los Estados Unidos y en todo el mundo afectadas por la vulnerabilidad de MOVEit.
El 30 de mayo de 2023, Maximus detectó actividad inusual en su entorno MOVEit; Maximus comenzó rápidamente a investigar con la ayuda de expertos en seguridad cibernética reconocidos a nivel nacional y desconectó el entorno MOVEit a principios del 31 de mayo de 2023 y aplicó las acciones recomendadas por el proveedor para abordar la vulnerabilidad previamente desconocida. Maximus continúa mejorando su programa de seguridad cibernética para protegerse de las amenazas cibernéticas.
Maximus notificó de inmediato al Departamento sobre el incidente y ha estado trabajando con ellos desde la notificación. La investigación determinó que aproximadamente entre el 27 y el 31 de mayo de 2023, una parte no autorizada obtuvo copias de ciertos archivos de computadora guardados en el entorno MOVEit de Maximus. Luego de una revisión adicional de los archivos, Maximus determinó que esos archivos contenían cierta información personal. Maximus comunicó esto al Departamento el 20 de julio de 2023. La información involucrada puede incluir nombre, Número de Seguro Social, dirección y fecha de nacimiento.
Maximus ofrece dos años de servicios gratuitos de monitoreo de crédito, restauración de identidad y detección de fraude a través de Experian sin costo para las personas potencialmente afectadas. Como buena práctica, se recomienda que las personas controlen periódicamente los estados de cuenta y los informes de crédito gratuitos. Si las personas identifican actividades sospechosas, se recomienda que se comuniquen con la empresa que mantiene la cuenta en nombre de las personas.
Maximus se toma muy en serio la privacidad y la seguridad de la información personal y lamenta que haya ocurrido este incidente.
Las personas que tengan preguntas o inquietudes deben comunicarse con Maximus al (833) 919-4749 sin cargo de lunes a viernes de 8 am a 10 pm hora central, o los sábados y domingos de 10 am a 7 pm hora central (excluyendo los principales feriados de EE. UU.) y, si recibió una carta de notificación por correo, esté preparado para proporcionar el número de compromiso proporcionado en esa carta.