Third Party Data Incident for 403(b)/457(b)

Carruth Incident

This week we learned that Carruth Compliance Consulting, the third-party administrator of Greater Albany Public Schools’ 403(b) and 457(b) retirement savings plans, discovered suspicious activity on its computer systems on December 21, 2024 (the “Carruth Incident” or “Incident”). Carruth reported that an investigation revealed that sensitive employee data for Carruth’s clients, including Greater Albany Public Schools was affected. Carruth’s customers include many Oregon school districts, ESDs and other organizations. 

 

Carruth reported that upon learning of the Incident, they began working with third-party specialists to investigate the activity, and then notified the Federal Bureau of Investigation. Carruth also engaged a sub-contractor to handle processing of information coming in from its clients. For the foreseeable future, no further retirement account transactions Greater Albany Public Schools employees will be processed by Carruth. 

 

Frequently asked questions

Was my information affected?

It appears that the Carruth Incident may potentially affect all individuals who were employed by Greater Albany Public Schools between January 1, 2009 and January 2025. We encourage all potentially affected current and former employees to take the steps outlined below to monitor and protect their personal information.

What information was affected?

Carruth reported that the affected information may include employees’ names, Social Security numbers, financial account information, driver’s license numbers, W-2 information, medical billing information (but not medical records) and tax filings.

What is Greater Albany Public Schools doing?

We are working with Carruth and multiple other parties to understand the full scope of the Incident, to ensure all affected employees will be directly notified and provided appropriate remediation services, and to ensure Carruth is taking appropriate steps to mitigate the impact on our employees. We will update information about the incident as it becomes available.

What should I do?

• Enroll in credit monitoring and identity restoration services. Carruth is offering free credit monitoring and identity restoration services through IDX, a firm that provides identity protection services to consumers affected by data security incidents. To enroll, please call IDX at 877.720.7895.
• Monitor your accounts. Regularly review your bank accounts, credit card statements, and other financial accounts for any suspicious activity. If you see anything unusual, report it to your financial institution immediately.
• Check your credit reports. You are entitled to one free credit report annually from each of the three major credit reporting bureaus (Equifax, Experian and TransUnion). Visit www.annualcreditreport.com or call 877.322.8228 to order your free reports.  
• Consider placing a fraud alert on your credit file. Fraud alerts notify creditors to verify your identity before issuing new credit. You can place an initial fraud alert (lasting one year), or an extended fraud alert (lasting seven years), at no cost, if you believe you are a victim of identity theft.  
• Consider placing a Credit freeze on your credit file. Credit freezes prevent credit bureaus from releasing your credit report without your explicit consent. This makes it harder for identity thieves to open accounts in your name. You can place a credit freeze on your credit file at no cost. 
• Report any suspicious activity. If you suspect you are a victim of identity theft, you should file a police report.  You can also report it to the Federal Trade Commission at www.identitytheft.gov or 877.ID.THEFT (877.438.4338). 

How do I place fraud alerts and credit freezes on my credit file? Place a fraud alert and/or a credit freeze on your credit file by contacting each of the three major credit reporting bureaus:

• • Equifax: 888-298-0045 or https://www.equifax.com/personal/credit-report-services/
  • Experian: 888-397-3742 or https://www.experian.com/help/
  • TransUnion: 800-916-8800 or https://www.transunion.com/credit-help

Additional resources

• Federal Trade Commission: www.identitytheft.gov

Oregon Attorney General: www.doj.state.or.us/consumer-protection/id-theft-data-breaches/identity-theft/

 

---

Incidente de la consultora Carruth

Esta semana nos enteramos de que la consultora Carruth Compliance Consulting, el administrador externo de los planes de ahorro para la jubilación 403(b) y 457(b) de Greater Albany Public Schools, descubrió una actividad sospechosa en sus sistemas informáticos el 21 de diciembre de 2024 (el “Incidente de Carruth” o el “Incidente”). Carruth informó que una investigación reveló que se vieron afectados datos confidenciales de los empleados de los clientes de Carruth, incluidas Greater Albany Public Schools. Los clientes de Carruth incluyen muchos distritos escolares, ESD y otras organizaciones de Oregon.

Carruth informó que, al enterarse del incidente, comenzaron a trabajar con especialistas externos para investigar la actividad y luego notificaron a la Oficina Federal de Investigaciones. Carruth también contrató a un subcontratista para manejar el procesamiento de la información proveniente de sus clientes. En el futuro previsible, Carruth no procesará más transacciones de cuentas de jubilación de los empleados de Greater Albany Public Schools.

Preguntas frecuentes

¿Se vio afectada mi información?

Parece que el incidente de Carruth puede afectar potencialmente a todas las personas que fueron empleadas por Greater Albany Public Schools, entre el 1 de enero de 2009 y enero de 2025. Alentamos a todos los empleados actuales y anteriores, potencialmente afectados a que tomen las medidas que se describen a continuación para monitorear y proteger su información personal.

¿Qué información se vio afectada?

Carruth informó que la información afectada puede incluir nombres de empleados, números de Seguro Social, información de cuentas financieras, números de licencia de conducir, información del formulario W-2, información de facturación médica (pero no registros médicos) y declaraciones de impuestos.

¿Qué están haciendo Greater Albany Public Schools?

Estamos trabajando con Carruth y muchas otras entidades, para comprender el alcance total del incidente, para garantizar que todos los empleados afectados sean notificados directamente y se les brinden los servicios de remediación adecuados y para garantizar que Carruth esté tomando las medidas adecuadas para mitigar el impacto en nuestros empleados. Actualizáremos la información sobre el incidente a medida que esté disponible.

¿Qué debo hacer?

• Inscribirse en servicios de monitoreo de crédito y restauración de identidad. Carruth ofrece servicios gratuitos de monitoreo de crédito y restauración de identidad a través de IDX, una empresa que brinda servicios de protección de identidad a consumidores afectados por incidentes de seguridad de datos. Para inscribirse, llame a IDX al 877.720.7895.
• Monitoree sus cuentas. Revise regularmente sus cuentas bancarias, resúmenes de tarjetas de crédito y otras cuentas financieras, para detectar cualquier actividad sospechosa. Si ve algo inusual, infórmelo a su institución financiera de inmediato.
• Revise sus informes de crédito. Tiene derecho a un informe de crédito gratuito por año de cada una de las tres principales agencias de informes de crédito (Equifax, Experian y TransUnion). Visite www.annualcreditreport.com o llame al 877.322.8228 para solicitar sus informes gratuitos.
• Considere colocar una alerta de fraude en su archivo de crédito. Las alertas de fraude notifican a los acreedores para que verifiquen su identidad antes de emitir un nuevo crédito. Puede colocar una alerta de fraude inicial (que dura un año) o una alerta de fraude extendida (que dura siete años), sin costo alguno, si cree que es víctima de robo de identidad. 
• Considere colocar una congelación de crédito en su archivo crediticio. Las congelaciones de crédito evitan que las agencias de crédito divulguen su informe crediticio sin su consentimiento explícito. Esto hace que sea más difícil para los ladrones de identidad abrir cuentas a su nombre. Puede colocar una congelación de crédito en su archivo crediticio sin costo alguno.
• Denuncie cualquier actividad sospechosa. Si sospecha que es víctima de robo de identidad, debe presentar una denuncia policial. También puede informarlo a la Comisión Federal de Comercio en www.identitytheft.gov o al 877.ID.THEFT (877.438.4338).

¿Cómo coloco alertas de fraude y congelaciones de crédito en mi archivo crediticio? Coloque una alerta de fraude y/o un congelamiento de crédito en su archivo crediticio comunicándose con cada una de las tres principales agencias de informes crediticios:

○  Equifax: 888-298-0045 o https://www.equifax.com/personal/credit-report-services/

○  Experian: 888-397-3742 o https://www.experian.com/help/

○  TransUnion: 800-916-8800 o https://www.transunion.com/credit-help

Recursos adicionales

• Comisión Federal de Comercio: www.identitytheft.gov

Fiscal General de Oregon: www.doj.state.or.us/consumer-protection/id-theft-data-breaches/identity-theft/