Το
Blackbaud έχει συμβιβαστεί με την Ομοσπονδιακή Επιτροπή Εμπορίου αφού κατηγορήθηκε για κακή ασφάλεια και αλόγιστες πρακτικές διατήρησης δεδομένων, που οδήγησαν σε επίθεση
ransomware
τον Μάιο του 2020 και παραβίαση δεδομένων που επηρεάζει εκατομμύρια ανθρώπους.
Η Blackbaud είναι μια εταιρεία με έδρα τις ΗΠΑ εισηγμένη στο
NASDAQ
με δραστηριότητες σε πολλές χώρες και πάροχο λογισμικού διαχείρισης δεδομένων δωρητών βασισμένο σε σύννεφο που απευθύνεται σε μη κερδοσκοπικούς οργανισμούς, όπως φιλανθρωπικές οργανώσεις, εκπαιδευτικούς οργανισμούς και υπηρεσίες υγειονομικής περίθαλψης.
ο
Η καταγγελία της FTC
ισχυρίζεται ότι η εταιρεία «απέτυχε να παρακολουθήσει τις προσπάθειες χάκερ να παραβιάσουν τα δίκτυά της, να τμηματοποιήσει δεδομένα για να αποτρέψει την εύκολη πρόσβαση των χάκερ στα δίκτυά της και τις βάσεις δεδομένων της, να εξασφαλίσει ότι τα δεδομένα που δεν χρειάζονται πλέον διαγράφονται, να εφαρμόσει επαρκώς τον έλεγχο ταυτότητας πολλαπλών παραγόντων και να δοκιμάσει, να επανεξετάσει και να αξιολογήσει τους ελέγχους ασφαλείας του» και «επέτρεψε στους υπαλλήλους να χρησιμοποιούν προεπιλεγμένους, αδύναμους ή πανομοιότυπους κωδικούς πρόσβασης για τους λογαριασμούς τους».
Ως μέρος του οικισμού, η
Παρήγγειλε η FTC
ο πάροχος λογισμικού για να βελτιώσει τα μέτρα ασφαλείας του και να διασφαλίσει ότι διαγράφει από τα συστήματά του τυχόν δεδομένα πελατών που δεν χρειάζονται πλέον.
Η Blackbaud θα αποκλείεται επίσης από την ανακριβή απεικόνιση των πρωτοκόλλων ασφάλειας και διατήρησης δεδομένων της και θα πρέπει να δημιουργήσει ένα πρόγραμμα ασφάλειας πληροφοριών που έχει σχεδιαστεί για να διορθώνει τις ανησυχίες που περιγράφονται στην καταγγελία της FTC.
Σύμφωνα με την προτεινόμενη εντολή, η Blackbaud πρέπει επίσης να καταρτίσει ένα χρονοδιάγραμμα διατήρησης δεδομένων που να περιγράφει λεπτομερώς το σκεπτικό πίσω από τη διατήρηση των προσωπικών δεδομένων και να προσδιορίζει το χρονοδιάγραμμα για τη διαγραφή τους. Η Blackbaud έχει επίσης εντολή να ειδοποιεί αμέσως την FTC σε περίπτωση παραβίασης δεδομένων που απαιτεί αναφορά σε σχετικές τοπικές, πολιτειακές ή ομοσπονδιακές υπηρεσίες.
“Οι κακές πρακτικές ασφάλειας και διατήρησης δεδομένων του Blackbaud επέτρεψαν σε έναν χάκερ να αποκτήσει ευαίσθητα
προσωπικά δεδομένα
για εκατομμύρια καταναλωτές. Οι
εταιρείες
έχουν ευθύνη να προστατεύουν τα δεδομένα που διατηρούν και να διαγράφουν δεδομένα που δεν χρειάζονται πλέον”, δήλωσε ο Samuel Levine, Διευθυντής του
Γραφείο
υ Καταναλωτών της FTC ΠΡΟΣΤΑΣΙΑ.
Η FTC λέει ότι η Blackbaud πλήρωσε στη συμμορία ransomware που έκλεψε τα προσωπικά δεδομένα που ανήκαν σε εκατομμύρια ανθρώπους από τα συστήματά της λύτρα 24 Bitcoin (αξίας περίπου 250.000 $ τότε) αφού οι επιτιθέμενοι απείλησαν να διαρρεύσουν τα κλεμμένα δεδομένα στο διαδίκτυο.
Η Blackbaud αποκάλυψε την παραβίαση τον Ιούλιο του 2020 και αργότερα αποκάλυψε ότι επηρέασε δεδομένα που ανήκαν σε περισσότερους από 13.000 επιχειρηματικούς πελάτες Blackbaud και τους πελάτες τους από τις ΗΠΑ, τον Καναδά, το Ηνωμένο Βασίλειο και την Ολλανδία, συμπεριλαμβανομένων τραπεζικών πληροφοριών, αριθμών κοινωνικής ασφάλισης και διαπιστευτηρίων απλού κειμένου.
Υπέβαλε επίσης ένα
Αρχειοθέτηση 8-Κ
με την Επιτροπή Κεφαλαιαγοράς των Η.Π.Α.
Μέχρι τον Νοέμβριο του 2020, η εταιρεία ήταν ήδη κατηγορούμενος σε 23 προτεινόμενες αγωγές ομαδικής αγωγής σχετικά με την παραβίαση του Μαΐου 2020 στις ΗΠΑ και τον Καναδά.
Η Blackbaud συμφώνησε να πληρώσει 3 εκατομμύρια δολάρια τον Μάρτιο του 2023
εγκαθίσταμαι
Οι χρεώσεις της SEC υπογραμμίζουν την αποτυχία της να αποκαλύψει τον «πλήρη αντίκτυπο» της επίθεσης ransomware.
Τον Οκτώβριο, ο πάροχος cloud συμφώνησε επίσης να πληρώσει 49,5 εκατομμύρια δολάρια για να διευθετήσει μια κοινή πολυπολιτειακή έρευνα για την παραβίαση που υποστηρίζεται από γενικούς εισαγγελείς από 49 πολιτείες των ΗΠΑ.
«Η αποτυχία του Blackbaud να μεταφέρει με ακρίβεια το εύρος και τη σοβαρότητα της παραβίασης κράτησε τα θύματα στο σκοτάδι και τα καθυστέρησε από το να λάβουν προστατευτικά μέτρα, κάνοντας μια κακή κατάσταση ακόμα χειρότερη», ανέφεραν η πρόεδρος της FTC Lina M. Khan, η Επίτροπος Rebecca Kelly Slaughter και ο Επίτροπος Alvaro. Μ. Μπεντόγια
σε κοινή δήλωση
.
VIA:
bleepingcomputer.com
