Bulut yazılım şirketi Blackbaud’un binlerce alt müşterisinde veri ihlallerine yol açan yıkıcı 2020 fidye yazılımı saldırısından üç buçuk yıl sonra, ABD merkezli tedarikçi, büyük siber güvenlik arızaları nedeniyle yetkililer tarafından eleştirildi ve düzeltici adımlar atması talimatı verildi .
Blackbaud, eğitim kurumlarında ve kar amacı gütmeyen kuruluşlarda sunulan finans, bağış toplama ve yönetim yazılımları konusunda uzmanlaşmıştır. 2020 yılında sistemlerine yapılan saldırının, Aberdeen, Birmingham, Bristol, Brunel, Durham, East Anglia, Exeter, Glasgow, Heriot-Watt, Kent, Leeds, Liverpool, Londra, Loughborough dahil olmak üzere birçok Birleşik Krallık üniversitesinin verilerini etkilediği biliniyor. , Manchester, Northampton, Oxford Brookes, Reading, Robert Gordon, Staffordshire, Strathclyde, Sussex ve Batı Londra.
Kâr amacı gütmeyen mağdurlar arasında Bağımlılığa Karşı Eylem, Şimdi Meme Kanseri, İsimsiz Koro, Maccabi GB, National Trust, Sue Ryder, Üroloji Vakfı ve Wallich yer alıyor. İşçi Partisi bağışçılarına ilişkin veriler de alındı.
O zamandan bu yana müdahalesinin her adımında, Blackbaud’un tanınmış ve önerilen olay müdahalesi en iyi uygulamalarını takip edemediği ortaya çıktı.
Saldırı Şubat 2020’de başladı ve Mayıs ayında fark edildi, ancak Blackbaud kurbanları bilgilendirmek için neredeyse iki ay bekledi. Daha sonra fidye yazılımı çetesinin verileri sileceği sözü karşılığında 24 Bitcoin fidye ödediğini açıkça açıkladı ancak bunun yapıldığını hiçbir zaman doğrulamadı.
1 Şubat’ta yayınlanan bir şikayette ABD Federal Ticaret Komisyonu (FTC), Blackbaud’un müşterilerinin verilerini korumak ve güvence altına almak için uygun önlemleri uygulamadığını söyledi.
FTC Tüketiciyi Koruma Bürosu müdürü Samuel Levine, “Blackbaud’un kalitesiz güvenlik ve veri saklama uygulamaları, bir bilgisayar korsanının milyonlarca tüketicinin hassas kişisel verilerini ele geçirmesine olanak tanıdı” dedi. “Şirketlerin sakladıkları verileri güvence altına alma ve artık ihtiyaç duymadıkları verileri silme sorumluluğu var.”
FTC, şikayetinde Blackbaud’un, söz vermesine rağmen verilerini korumak için fiziksel, elektronik ve prosedürle ilgili önlemleri uygulamayarak müşterilerini aldattığını söyledi.
Diğer şeylerin yanı sıra, sistemlerine tekrar tekrar girme girişimlerini izleme, verilere erişmelerini engellemek için verileri bölümlere ayırma, gereksiz verilerin silinmesini sağlama, çok faktörlü kimlik doğrulamayı (MFA) uygulama ve güvenlik kontrollerini test etme, inceleme ve değerlendirme konusunda başarısız oldu. . Ayrıca kendi çalışanlarının hesaplarında varsayılan, zayıf veya aynı şifreleri kullanmasına da izin verdi.
Bu sorunların bir sonucu olarak, izinsiz girişin arkasındaki tehdit aktörü, birden fazla ortamda istediği gibi özgürce hareket edebildi, mevcut güvenlik açıklarından ve yönetici hesaplarından yararlanabildi, firmanın müşterilerinin şifrelenmemiş verilerine erişip bunları kaldırabildi.
Ek olarak FTC, Blackbaud’un verileri, saklanma amacı için gerekli olandan çok daha uzun süre sakladığını, yani artık müşteri olmayan kuruluşlarla ilgili verilerin bir kısmını sakladığını söyledi.
FTC ayrıca, Blackbaud’un saldırganın mali bilgiler ve ABD Sosyal Güvenlik numaraları da dahil olmak üzere hassas verileri elde ettiğinin farkında olmasına rağmen bildirimdeki iki aylık gecikmeye de değindi. Bu gecikmenin kimlik hırsızlığına veya diğer zararlara karşı kendilerini korumak için hiçbir şey yapamayan sıradan insanlara zarar verdiği belirtildi.
İleriye dönük olarak FTC, Blackbaud’un müşterilere ürün veya hizmet sağlamak için artık ihtiyaç duymadığı verileri silmesini gerektiren ve güvenlik uygulamalarını yanlış beyan etmesini yasaklayan bir emir öneriyor. FTC’nin emri aynı zamanda şirketin, tespit edilen sorunlara çözüm bulmak için “kapsamlı” bir siber güvenlik programı geliştirmesini ve gelecekte bildirilebilir bir ihlalle karşılaşması halinde FTC’ye bildirimde bulunmasını talep edecek.
Blackbaud daha önce siber saldırıya yanıltıcı tepki vermesi nedeniyle ABD mali düzenleyicisi Menkul Kıymetler ve Borsa Komisyonu tarafından cezalandırılmıştı. Buna ek olarak geçen yıl, eyalet yasalarını ve federal Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’nı ihlal ettiği yönündeki soruşturmaları çözüme kavuşturmak için ABD’nin 50 eyaletinin tümüne dağıtılacak 49,5 milyon dolar ödeme konusunda anlaşmaya vardı. Aynı zamanda Birleşik Krallık’taki Bilgi Komiserliği Ofisi tarafından da kınandı.