Dalış Özeti:
- Blackbaud’un, önerilen bir çözüm kapsamında gereksiz yere saklanan verileri silmesi gerekiyor. Federal Ticaret Komisyonu 2020 fidye yazılımı saldırısıyla bağlantılı olarak ulaşıldı.
- Daha önce bir noktaya ulaşan yazılım firması 3 milyon dolarlık uzlaşma Aynı olayla ilgili olarak Menkul Kıymetler ve Borsa Komisyonu ile Bir bilgi güvenliği programı geliştirmesi gerekecek FTC eylemiyle ortaya çıkan önemli sorunları ele alan ve ajansı gelecekteki herhangi bir veri ihlali konusunda bilgilendiren.
- FTC Tüketiciyi Koruma Bürosu müdürü Samuel Levine, “Blackbaud’un kalitesiz güvenlik ve veri saklama uygulamaları, bir bilgisayar korsanının milyonlarca müşterinin hassas kişisel verilerini ele geçirmesine olanak tanıdı” dedi. ifade. “Şirketlerin sakladıkları verileri güvence altına alma ve artık ihtiyaç duymadıkları verileri silme sorumluluğu var.”
Dalış Bilgisi:
Okullara, hastanelere ve kar amacı gütmeyen kuruluşlara yazılım sağlayan Blackbaud, 2020 yılında yaklaşık 13.000 müşteriyi etkileyen bir fidye yazılımı saldırısına uğradı.
FTC’nin şikayetine göre Güney Carolina merkezli şirket, tehdit aktörünün kişisel müşteri verilerini silme sözü vermesinin ardından bilgisayar korsanlarına Bitcoin cinsinden 235.000 dolar değerinde fidye ödedi. FTC ve SEC’e göre şirket daha sonra müşterileri veri sızıntısının kapsamı konusunda yanılttı.
FTC’nin şikayetine göre müşteriler daha sonra kişisel verilerinin sahtekarlıkla kötüye kullanılmasına maruz kaldı. Bilgisayar korsanları banka hesap verilerini ve Sosyal Güvenlik numaralarını çaldı ancak şirket, ilk ihlal bildirimlerinde risk hakkında yanıltıcı bilgiler verdi.
Blackbaud Başkanı ve CEO’su Mike Gianoni müşterilerinin ve ortaklarının gizliliğinin korunmasının “her zaman büyük önem taşıyacağını” ve şirketin siber güvenlik ve uyumluluk programlarını güçlendirmeye devam ettiğini söyledi.
Şirket para cezasına çarptırılmadı ve FTC’nin iddialarını ne kabul etti ne de reddetti.
Blackbaud, SEC’in saldırıyla ilgili soruşturmasını sonuçlandırmak için Mart 2023’te 3 milyon dolar ödedi, çünkü şirket 10. çeyrekte yapılan bir başvuruda yanıltıcı beyanlarda bulundu ve daha sonra sonraki başvurularda bunu düzeltmeye çalıştı.
Şirket, 2022’de yeni bir CISO kiraladı ve aynı yılın sonlarında United Airlines CISO Deneen DeFiore’u yönetim kuruluna ekledi.
Gelecekteki ihlalleri FTC’ye bildirme zorunluluğu önemsiz bir konu değildir. Uber hakkında daha önce yapılan bir FTC soruşturması şu sonuçlara yol açtı: federal soruşturma ve mahkumiyet eski Uber CSO’su Joe Sullivan’ın. Sullivan ve Uber, FTC’nin daha önceki bir vakada şirketin veri güvenliği uygulamalarını araştırmasının ardından fidye yazılımı saldırısını gizledi