Güney Carolina merkezli bir yazılım şirketi olan Blackbaud’a, Kaliforniya Başsavcılığı tarafından Mayıs 2020’de gerçekleşen bir fidye yazılımı saldırısını engellemek için 6,75 milyon dolar ödeme emri verildi.
AG’nin ofisi, saldırının zayıf güvenlik uygulamaları nedeniyle meydana geldiğini söyledi.
Blackbaud’un, tehdit aktörlerinin şifrelenmemiş Sosyal Güvenlik numaralarını, banka hesap bilgilerini ve oturum açma kimlik bilgilerini ele geçirdiğini açıklamasının ardından şirket, “ihlal öncesinde veri güvenliği çabalarının yeterliliği ve kar amacı gütmeyen kuruluşa yönelik ihlalin boyutu hakkında yanıltıcı beyanlarda bulundu” Müşteriler ve kamuoyu” Başsavcı basın açıklamasında şunları söyledi:. “Bu eylemler Makul Veri Güvenliği Kanunu’nu, Haksız Rekabet Kanunu’nu ve veri güvenliğine ilişkin Sahte Reklam Kanunu’nu ihlal etmiştir.”
Hükümet öncülüğündeki bir soruşturmaya göre, 13.000 kar amacı gütmeyen kuruluş, üniversite, hastane ve diğer kuruluşların özel bilgileri Blackbaud aracılığıyla ele geçirildi ve bu durum şirketin 24 bitcoin veya 250.000 dolar fidye ödemesine yol açtı.
Bu ceza, daha geniş bir cezalar dizisinin bir parçasıdır. Blackbaud, 49 eyalet ve Washington DC ile 49,5 milyon dolarlık bir anlaşmayı kabul etmeden önce Mart 2023’te 3 milyon dolar para cezasına çarptırıldı. Ancak bu yılın başında Federal Ticaret Komisyonu, Blackbaud’a ayrıca bir bilgi güvenliği programı geliştirmesini ve hizmetleri için artık gerekli olmayan verileri silmesini emretti.
FTC savundu Şirketin, tehdit aktörlerinin talep ettiği fidyeyi ödemesine rağmen, verilerin silinmesini sağlamak için ek adımlar atmadığı ve güvenlik uygulamalarını da artırmadığı belirtildi. çok faktörlü kimlik doğrulamanın uygulanmasıdiğer şeylerin yanı sıra ağını izlemek ve hassas verileri şifrelemek.
Başsavcı Bonta, “Blackbaud yalnızca tüketicilerin kişisel bilgilerini korumakla kalmadı, aynı zamanda veri ihlalinin tüm etkileri konusunda halkı yanılttı” dedi. “Bu kesinlikle kabul edilemez. Bugünkü anlaşma, Blackbaud’un tüketicilerin kişisel bilgilerinin korunmasına öncelik vermesini ve gelecekteki olayları önlemek için güvenlik önlemlerini geliştirmesini sağlayacaktır.”