Blackbaud, Mayıs 2020’de bir fidye yazılımı saldırısına ve milyonlarca insanı etkileyen bir veri ihlaline yol açan zayıf güvenlik ve dikkatsiz veri saklama uygulamalarıyla suçlandıktan sonra Federal Ticaret Komisyonu ile anlaştı.
Blackbaud, birden fazla ülkede faaliyet gösteren, NASDAQ’ta listelenen ABD merkezli bir şirkettir ve hayır kurumları, eğitim kuruluşları ve sağlık kurumları gibi kar amacı gütmeyen kuruluşlara hizmet veren bulut tabanlı bağışçı veri yönetimi yazılımı sağlayıcısıdır.
FTC’nin şikayeti, şirketin “bilgisayar korsanlarının ağlarını ihlal etme girişimlerini izlemede başarısız olduğunu, bilgisayar korsanlarının ağlarına ve veritabanlarına kolayca erişmesini önlemek için verileri bölümlere ayırmadığını, artık ihtiyaç duyulmayan verilerin silinmesini sağlamadığını, çok faktörlü kimlik doğrulamayı yeterli şekilde uygulamadığını ve verileri test edemediğini” iddia ediyor. güvenlik kontrollerini gözden geçirip değerlendirdi” ve “çalışanların hesapları için varsayılan, zayıf veya aynı şifreleri kullanmalarına izin verdi.”
Anlaşmanın bir parçası olarak FTC, yazılım sağlayıcısına güvenlik önlemlerini iyileştirmesini ve artık ihtiyaç duyulmayan müşteri verilerini sistemlerinden silmesini sağlamasını emretti.
Blackbaud’un ayrıca veri güvenliği ve veri saklama protokollerini yanlış bir şekilde tasvir etmesi de yasaklanacak ve FTC’nin şikayetinde belirtilen endişeleri düzeltmek için tasarlanmış bir bilgi güvenliği programı oluşturması istenecek.
Önerilen emre göre, Blackbaud’un ayrıca kişisel verilerin saklanmasının ardındaki mantığı detaylandıran ve silinmesine ilişkin zaman çizelgesini belirten bir veri saklama planı oluşturması gerekiyor. Blackbaud’un ayrıca ilgili yerel, eyalet veya federal kurumlara rapor verilmesini gerektiren bir veri ihlali durumunda FTC’yi derhal bilgilendirmekle yükümlü olduğu belirtiliyor.
FTC Tüketici Bürosu Direktörü Samuel Levine, “Blackbaud’un kalitesiz güvenlik ve veri saklama uygulamaları, bir bilgisayar korsanının milyonlarca tüketicinin hassas kişisel verilerini ele geçirmesine olanak tanıdı. Şirketlerin, tuttukları verileri güvence altına alma ve artık ihtiyaç duymadıkları verileri silme sorumluluğu var” dedi. Koruma.
FTC, Blackbaud’un, saldırganların çalınan verileri çevrimiçi olarak sızdırmakla tehdit etmesinden sonra, sistemlerinden milyonlarca kişiye ait kişisel verileri çalan fidye yazılımı çetesine 24 Bitcoin (o sırada yaklaşık 250.000 dolar değerinde) fidye ödediğini söylüyor.
Blackbaud, ihlali Temmuz 2020’de açıkladı ve daha sonra bunun, bankacılık bilgileri, sosyal güvenlik numaraları ve düz metin kimlik bilgileri dahil olmak üzere ABD, Kanada, İngiltere ve Hollanda’daki 13.000’den fazla Blackbaud ticari müşterisine ve onların müşterilerine ait verileri etkilediğini ortaya çıkardı.
Ayrıca Eylül 2020’de ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) bir 8-K başvurusu sundu; bu başvuruda ihlalin tüm kapsamıyla ilgili önemli ayrıntılar dışarıda bırakıldı ve hassas çalınan bilgilerle ilişkili riskler küçümsenerek bunu varsayımsal olarak tanımlandı. SEC’e göre.
Kasım 2020 itibarıyla şirket, ABD ve Kanada’da Mayıs 2020’deki ihlalle ilgili olarak önerilen 23 toplu davada davalı konumundaydı.
Blackbaud, fidye yazılımı saldırısının “tam etkisini” açıklamadaki başarısızlığını vurgulayarak SEC suçlamalarını karşılamak için Mart 2023’te 3 milyon dolar ödemeyi kabul etti.
Ekim ayında bulut sağlayıcı, ihlale ilişkin 49 ABD eyaletinin başsavcılarının desteklediği çok eyaletli ortak bir soruşturmanın sonuçlandırılması için 49,5 milyon dolar ödemeyi de kabul etti.
FTC Başkanı Lina M. Khan, Komisyon Üyesi Rebecca Kelly Slaughter ve Komisyon Üyesi Alvaro, “Blackbaud’un ihlalin kapsamını ve ciddiyetini doğru bir şekilde aktarmadaki başarısızlığı, mağdurları karanlıkta bıraktı ve onları koruyucu önlemler almaktan alıkoyarak kötü durumu daha da kötü hale getirdi” dedi. M. Bedoya ortak açıklamada bulundu.