Η FTC διατάζει την Blackbaud να αναθεωρήσει τις «αλόγιστες» πρακτικές ασφαλείας μετά την παραβίαση του 2020

Η εταιρεία τεχνολογίας εκπαίδευσης Blackbaud συμφώνησε να συμβιβαστεί με την Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ σχετικά με τις πρακτικές ασφάλειας της εταιρείας που οδήγησαν σε παραβίαση δεδομένων το 2020.

ο

Η FTC ισχυρίζεται ότι το Blackbaud

μια εταιρεία με έδρα τις ΗΠΑ που παρέχει οικονομικό και διοικητικό λογισμικό σε κολέγια, μη κερδοσκοπικούς οργανισμούς, οργανισμούς υγειονομικής περίθαλψης και ακροδεξιούς οργανισμούς, είχε «χαλαρά» πρωτόκολλα ασφαλείας που επέτρ

επα

ν στους εισβολείς να παραβιάσουν το δίκτυο της εταιρείας και να έχουν πρόσβαση στα προσωπικά δεδομένα εκατομμυρίων καταναλωτών.

Αυτό το περιστατικό του Φεβρουαρίου του 2020 είδε κακόβουλους χάκερ να χρησιμοποιήσουν τα διαπιστευτήρια ενός πελάτη για να αποκτήσουν πρόσβαση στο δίκτυο του Blackbaud, όπου οι χάκερ παρέμειναν απαρατήρητοι για περισσότερους από τρεις μήνες και διέφυγαν τεράστιες ποσότητες μη κρυπτογραφημένων ευαίσθητων δεδομένων καταναλωτών, συμπεριλαμβανομένων αριθμών κοινωνικής ασφάλισης και τρ

απε

ζικών λογαριασμών.

Το Blackbaud με έδρα τη Νότια Καρολίνα είπε στους επηρεαζόμενους πελάτες εκείνη την εποχή ότι είχαν κλαπεί μόνο ονόματα, διευθύνσεις, διευθύνσεις email και αριθμοί τηλεφώνου, υποστηρίζοντας ότι «ο εγκληματίας του κυβερνοχώρου δεν είχε πρόσβαση σε πληροφορίες πιστωτικών καρτών, στοιχεία τραπεζικού λογαριασμού ή αριθμούς κοινωνικής ασφάλισης».

Η Blackbaud, την οποία η FTC ισχυρίζεται ότι η Blackbaud γνώριζε ήδη από τον Ιούλιο του 2020 ότι είχαν κλαπεί αριθμοί κοινωνικής ασφάλισης και οικονομικά δεδομένα, δεν αποκάλυψε την πλήρη έκταση της παραβίασης μέχρι αργότερα τον Οκτώβριο, ούτε επαλήθευσε ότι τα κλεμμένα δεδομένα είχαν διαγραφεί αφού συμφώνησε να πληρώσει τα λύτρα των επιτιθέμενων περίπου 250.000 δολαρίων, είπε η FTC.

Σύμφωνα με την

Η καταγγελία της FTC

, η Blackbaud απέτυχε να εφαρμόσει τα κατάλληλα μέτρα κυβερνοασφάλειας για να αποτρέψει την παραβίαση δεδομένων. Η ρυθμιστική αρχή ισχυρίζεται επίσης ότι η εταιρεία δεν παρακολούθησε τις προσπάθειες χάκερ να παραβιάσουν τα δίκτυά της, να τμηματοποιήσουν δεδομένα, να εφαρμόσουν επαρκώς έλεγχο

ταυτότητα

ς πολλαπλών παραγόντων ή να δοκιμάσουν, να επανεξετάσουν και να αξιολογήσουν τους εταιρικούς της ελέγχους ασφαλείας. Η εταιρεία επέτρεψε επίσης στους υπαλλήλους να χρησιμοποιούν προεπιλεγμένους, αδύναμους ή πανομοιότυπους κωδικούς πρόσβασης, ισχυρίζεται η καταγγελία, και απέτυχε να επιδιορθώσει εγκαίρως απαρχαιωμένο λογισμικό και συστήματα, αφήνοντας τα δίκτυα πελατών σε κίνδυνο κυβερνοεπιθέσεων.

Το Blackbaud επέτρεψε επίσης στους πελάτες να αποθηκεύουν αριθμούς Κοινωνικής Ασφάλισης και πληροφορίες τραπεζικών λογαριασμών σε μη κρυπτογραφημένα πεδία που δεν έχουν καθοριστεί ειδικά για αυτούς τους σκοπούς, σύμφωνα με την καταγγελία. «Οι ανεπαρκείς πρακτικές κρυπτογράφησης του Blackbaud μεγάλωσαν τη σοβαρότητα της παραβίασης δεδομένων», δήλωσε η FTC.

Η ρυθμιστική αρχή έχει χρεώσει επίσης την Blackbaud με τη διατήρηση των δεδομένων των καταναλωτών για χρόνια πέραν του χρόνου που χρειαζόταν, συμπεριλαμβανομένων των «πελατών που είχαν στραφεί σε

προϊόντα

που δεν επηρεάστηκαν από την παραβίαση, ακόμη και δυνητικών πελατών».

«Οι κακές πρακτικές ασφάλειας και διατήρησης δεδομένων του Blackbaud επέτρεψαν σε έναν χάκερ να αποκτήσει ευαίσθητα προσωπικά δεδομένα για εκατομμύρια καταναλωτές», δήλωσε ο Samuel Levine, Διευθυντής του Γραφείου Προστασίας Καταναλωτών της FTC. «Οι

εταιρείες

έχουν ευθύνη να προστατεύουν τα δεδομένα που διατηρούν και να διαγράφουν δεδομένα που δεν χρειάζονται πλέον».

Σε κοινή δήλωση, η πρόεδρος της FTC Lina Kahn και οι επίτροποι που διορίστηκαν από τους Δημοκρατικούς συναδέλφους Rebecca Kelly Slaughter Alvaro M. Bedoya κατηγόρησαν την εταιρεία για «αλόγιστες πρακτικές διατήρησης δεδομένων» διατηρώντας δεδομένα που η εταιρεία δεν χρειαζόταν, είπαν.

Η Blackbaud, η οποία δεν απάντησε στις ερωτήσεις του TechCrunch, συμφώνησε να διαγράψει τα ξένα δεδομένα και να μεταρρυθμίσει τις πρακτικές της στον κυβερνοχώρο.