FTC, Blackbaud’un Fidye Yazılımı Hack’indeki ‘kalitesiz’ Uygulamalarını Vurdu

Perşembe günü FTC, Güney Carolina merkezli Blackbaud’a artık ihtiyaç duyulmayan kişisel verileri silme ve milyonlarca Sosyal Güvenlik ve banka hesap numarasını etkileyen hack sonrasında uzun bir güvenlik iyileştirmeleri listesi uygulama talimatı verdiğini söyledi (bkz.: Blackbaud, Siber Sigortacının Saldırı Maliyetlerinin Çoğunu Karşılayacağını Bekliyor).

FTC Tüketiciyi Koruma Bürosu direktörü Samuel Levine yaptığı açıklamada, “Blackbaud’un kalitesiz güvenlik ve veri saklama uygulamaları, bir bilgisayar korsanının milyonlarca tüketicinin hassas kişisel verilerini ele geçirmesine olanak tanıdı” dedi. “Şirketlerin, tuttukları verileri güvence altına alma ve bu verileri koruma sorumluluğu vardır.” artık ihtiyaç duymadıkları verileri silin.”

FTC’nin şirkete karşı şikayetinde, bir saldırganın 7 Şubat 2020’de Blackbaud’un kendi kendine barındırılan eski ürün veritabanlarına erişim sağladığı ve firmanın mühendislik ekibinden bir üyenin kimliği tespit ettiği 20 Mayıs 2020 tarihine kadar üç aydan fazla bir süre boyunca tespit edilemediği belirtiliyor. yedekleme sunucusunda şüpheli oturum açma.

FTC, “Blackbaud ihlali fark ettiğinde, saldırgan on binlerce Blackbaud müşterisinden milyonlarca tüketicinin kişisel bilgilerini içeren verileri çalmıştı” dedi.

FTC, müşterinin Blackbaud tarafından barındırılan veritabanına erişmek için bir Blackbaud müşterisinin kullanıcı adını ve parolasını kullanarak, saldırganın mevcut güvenlik açıklarını ve yerel yönetici hesaplarını tehlikeye atarak ve ardından yeni yönetici hesapları oluşturarak Blackbaud tarafından barındırılan birden fazla ortamda serbestçe hareket edebildiğini söyledi.

Bilgisayar korsanı, milyonlarca tüketicinin tam adı, yaşı, doğum tarihi, Sosyal Güvenlik numarası, ev adresi, telefon numarası, e-posta adresi ve finansal bilgileri gibi şifrelenmemiş kişisel bilgileri de dahil olmak üzere Blackbaud müşterilerine ait “büyük miktarlarda” tüketici verilerini sızdırdı. FTC, banka hesap bilgilerinin, tahmini servetin ve tanımlanmış varlıkların yer aldığını söyledi.

Saldırıda ayrıca hasta ve tıbbi kayıt tanımlayıcıları, tedavi eden doktor adları, sağlık sigortası bilgileri, tıbbi ziyaret tarihleri, tıbbi tedavi arama nedenleri, cinsiyet, dini inançlar, medeni durum, eş isimleri, eşlerin bağış geçmişi gibi tıbbi bilgiler de ele geçirildi. FTC, maaş, eğitim bilgileri ve hesap kimlik bilgilerini içeren istihdam bilgilerinin bulunduğunu söyledi.

FTC, “Blackbaud’un yetersiz şifreleme uygulamaları veri ihlalinin ciddiyetini artırdı” dedi ve Blackbaud’un uygun veri saklama politikalarını uygulamadaki başarısızlığının ihlalin ciddiyetini daha da artırdığını ekledi. “Blackbaud kendi veri saklama politikalarını uygulamadı, bu da şirketin müşterilerin tüketici verilerini gerekenden daha uzun süre saklamasına neden oldu.”

FTC, Blackbaud’un sonunda saldırganın çalınan verileri silme sözü karşılığında o zaman değeri 235.000 dolar olan 24 bitcoin ödemeyi kabul ettiğini söyledi. Ajans, “Blackbaud, saldırganın çalınan verileri sildiğini kesin olarak doğrulayamadı” diye ekledi.

FTC, yanıltıcı ihlal bildirim bildirimleri ve bilgi güvenliği uygulamalarına ilişkin aldatıcı ifadeler de dahil olmak üzere bir dizi FTC Yasası ihlali nedeniyle Blackbaud’a atıfta bulundu.

Artık ihtiyaç duyulmayan bilgilerin silinmesinin yanı sıra, FTC’nin önerdiği emir, Blackbaud’un kapsamlı bir bilgi güvenliği programı uygulamasını ve sürdürmesini gerektiriyor. Bu, tüm çalışanlar ve yükleniciler için çok faktörlü kimlik doğrulama yöntemlerinin zorunlu kılınmasından, hassas verilerin şifrelenmesine ve veri güvenliği olaylarının zamanında araştırılmasının sağlanmasına ve kritik ve yüksek riskli güvenlik açıklarının iyileştirilmesine kadar uzun bir kontrol ve en iyi uygulamalar listesini içerir.

Diğer Düzenleyici İşlemler

FTC’nin Güney Carolina merkezli Blackbaud ile önerdiği anlaşma, bilgisayar korsanlığı olayının ardından şirkete karşı hükümetin uyguladığı en son düzenleyici yaptırım eylemidir.

Geçen sonbaharda Blackbaud, fidye yazılımı saldırısının ışığında şirketin veri güvenliği uygulamalarına ilişkin 48 eyaletin başsavcıları ve Columbia Bölgesi tarafından yürütülen soruşturmayı sonuçlandırmak için 49,5 milyon dolar ödemeyi kabul etti (bkz: Blackbaud, Devlet AG’lerinin İhlaliyle Anlaşmak İçin 49,5 Milyon Dolar Ödedi).

FTC’nin Blackbaud’a karşı kararı gibi, bu çok eyaletli anlaşma da şirketin veri güvenliği iyileştirmeleri uygulamasını gerektiriyordu. Bunlar arasında ağ bölümleme, şifreleme, yama yönetimi, güvenlik olaylarının CEO’ya ve yönetim kuruluna raporlanması ve veri güvenliği uygulamalarının ayrıntılarını yanlış beyan etmekten kaçınma taahhüdü yer alıyordu.

Buna ek olarak, Mart 2023’te ABD Menkul Kıymetler ve Borsa Komisyonu, düzenleyicilerin şirketin, bilgisayar korsanlarının şifrelenmemiş verileri elde ettiğini açıklamayarak siber güvenlik olayıyla ilgili gerçekleri atlayan üç aylık bir Ağustos 2020 raporu sunduğuna karar vermesinin ardından Blackbaud’a 3 milyon dolar para cezası ödemesini emretti. banka hesabı ve Sosyal Güvenlik numaraları (bkz: Blackbaud ‘Hatalı’ İhlal Ayrıntıları Nedeniyle 3 Milyon Dolar Ödeyecek.

Ancak Blackbaud’a karşı harekete geçen tek hükümet kurumu ABD federal ve eyalet düzenleyicileri değil.

İngiltere’nin Bilgi Komiserliği Ofisi, Eylül 2021’de şirketi para cezası uygulamadan kınadı. Kınamalar genellikle gizlilik gözlemcisinin bir kuruluşun Birleşik Krallık’ın Genel Veri Koruma Yönetmeliğini ihlal ettiğini düşünme yollarını ayrıntılarıyla anlatır ve bu eksikliklerin giderilmesine yönelik önerilerde bulunur.

Blackbaud, Bilgi Güvenliği Medya Grubu’nun FTC’nin önerdiği çözüme ilişkin yorum talebine hemen yanıt vermedi.

FTC, onay anlaşması paketinin açıklamasını “yakında” Federal Kayıt’ta yayınlayacağını söyledi. Karar 30 gün boyunca kamuoyunun yorumuna açık olacak. Kamuoyunun geri bildirimi kapatılıp incelendikten sonra FTC, önerilen izin emrinin nihai hale getirilip getirilmeyeceğine karar verecek.