Bulut yazılımı sağlayıcısı Blackbaud, 13.000’den fazla müşteriyi etkileyen bir 2020 fidye yazılımı saldırısının tam etkisini açıklayamadığını iddia ederek Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından getirilen masrafları karşılamak için 3 milyon dolar ödemeyi kabul etti.
Olaydan etkilenen kuruluşlar arasında ABD, Kanada, Birleşik Krallık ve Hollanda’dan dünya çapındaki hayır kurumları, vakıflar, kar amacı gütmeyen kuruluşlar ve üniversiteler gibi birçok kuruluş bulunmaktadır.
SEC’in suçlamalarını karşılamak için (ancak SEC’in bulgularını onaylamadan veya reddetmeden), Blackbaud siber saldırının tüm kapsamını açıklamadığı için 3 milyon dolarlık bir sivil ceza ödemeyi kabul etti.
SEC Enforcement Division’ın Kripto Varlıkları ve Siber Birimi başkanı David Hirsch, “Emrin tespit ettiği üzere, Blackbaud, personelinin saldırıyla ilgili daha önceki kamu açıklamalarının hatalı olduğunu öğrenmesine rağmen bir fidye yazılımı saldırısının tam etkisini ifşa edemedi” dedi.
“Halka açık şirketlerin yatırımcılarına doğru ve zamanında maddi bilgi sağlama yükümlülüğü vardır; Blackbaud bunu yapmadı.”
SEC’e göre şirket, Temmuz 2020’de Mayıs 2020 fidye yazılımı saldırısının arkasındaki saldırganların bağışçının banka hesabı ayrıntılarına veya sosyal güvenlik numaralarına erişim elde etmediğini belirtti.
Ancak, Blackbaud’un teknoloji ve müşteri ilişkileri ekibi kısa süre sonra tehdit aktörlerinin bu hassas bilgilere eriştiğini ve bu bilgileri çaldığını öğrendi.
Ne yazık ki, şirket uygun ifşa kontrolleri ve prosedürlerinden yoksun olduğu için bunu yönetime rapor edemediler. Bu, Blackbaud’un ertesi ay ihlalin kapsamı hakkında hayati bilgiler içermeyen bir SEC raporu sunmasına yol açtı.
Ayrıca rapor, yanıltıcı bir şekilde, saldırganlar tarafından bu tür hassas bağışçı bilgilerinin elde edilmesi riskinin yalnızca varsayımsal olduğunu belirtiyordu.
Saldırı 43 eyaletten Başsavcılar tarafından soruşturuldu
Kasım 2020’ye kadar Blackbaud, SEC’e sunulan 2020 Q3 Quarterly raporuna göre, Mayıs 2020 fidye yazılımı saldırısı ve veri ihlaliyle ilgili olarak ABD ve Kanada’da önerilen 23 tüketici toplu davasında zaten dava edilmişti.
Şirket ayrıca, 43 eyalet Başsavcısı ve Columbia Bölgesi adına düzenlenen çok eyaletli, birleştirilmiş bir Sivil Soruşturma Talebi de dahil olmak üzere devlet kurumlarının ve veri düzenleyicilerinin de saldırıyla ilgili soruşturmalar yürüttüğünü açıkladı.
Blackbaud ayrıca Temmuz 2020 basın açıklamasında (artık şirketin güvenlik sayfasına yönlendiriliyor), çalınan tüm verilerin yok edildiğine dair onay aldıktan sonra saldırganlar tarafından talep edilen fidyeyi ödediğini doğruladı.
Blackbaud, “Müşterilerimizin verilerini korumak en büyük önceliğimiz olduğundan, siber suçlunun talebini, kaldırdıkları kopyanın imha edildiğini onaylayarak ödedik” dedi.
“Olayın doğasına, araştırmamıza ve üçüncü taraf (kanun yaptırımı dahil) soruşturmasına dayanarak, herhangi bir verinin siber suçlunun ötesine geçtiğine, kötüye kullanıldığına veya kullanılacağına veya dağıtılacağına veya başka bir şekilde kullanıma sunulacağına inanmak için hiçbir nedenimiz yok. halka açık.”