Provajder računarstva u oblaku Blackbaud postigao je sporazum od 49,5 miliona dolara sa državnim odvjetnicima iz 49 američkih država kako bi se riješila istraga više država o napadu ransomware-a u maju 2020. i rezultirajućem proboju podataka.
Blackbaud je vodeći dobavljač softverskih rješenja namijenjenih neprofitnim organizacijama, kao što su dobrotvorne organizacije, škole i zdravstvene agencije, a specijalizovan je za angažman donatora i upravljanje podacima birača.
Ovi podaci uključuju širok spektar osjetljivih informacija kao što su demografski detalji, brojevi socijalnog osiguranja, brojevi vozačkih dozvola, finansijski podaci, podaci o zaposlenju, podaci o bogatstvu, istorija donacija i zaštićeni zdravstveni podaci.
U proboju koje je Blackbaud otkrio u julu 2020. godine, kompromitovani su vrlo osjetljivi podaci koji pripadaju preko 13.000 Blackbaudovih poslovnih korisnika i njihovih klijenata iz SAD-a, Kanade, UK-a i Holandije, što je uticalo na milione pojedinaca.
Napadači su ukrali klijentove nešifrovane bankarske podatke, akreditive za prijavu i brojeve socijalnog osiguranja. Blackbaud je udovoljio zahtjevu napadača za otkupninom nakon što mu je rečeno da su svi ukradeni podaci uništeni.
Ovosedmična nagodba od 49,5 miliona dolara bavi se optužbama da Blackbaud krši državne zakone o zaštiti potrošača, propise o obavještavanju o proboju i Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA).
“Nepažnja ne može opravdati kompromitaciju podataka o potrošačima. Kompanije moraju biti posvećene zaštiti ličnih podataka, ispunjavanju opravdanih očekivanja potrošača o privatnosti i zaštiti podataka”, rekao je državni tužilac Ohaja Dave Yost.
Kao dio nagodbe, Blackbaud također mora:
- Implementirati i održavati plan odgovora na proboj
- Pružiti odgovarajuću pomoć svojim klijentima u slučaju proboja
- Prijaviti sigurnosne incidente svom izvršnom direktoru i odboru i obezbijediti poboljšanu obuku zaposlenih
- Implementirati mjere zaštite i kontrole ličnih podataka koje zahtijevaju potpunu enkripciju baze podataka i praćenje dark weba
- Poboljšati odbranu putem segmentacije mreže, upravljanja zakrpama, otkrivanja upada, firewall-a, kontrole pristupa, evidentiranja i nadzora, i testiranja penetracije
- Dozvoliti trećim stranama procjenu njegove usklađenosti s nagodbom na sedam godina
Napad ransomware-a
U svom kvartalnom izvještaju za 3. kvartal 2020. godine, kompanija je prije tri godine otkrila da su najmanje 43 državna državna tužioca i Distrikt Kolumbija istraživali incident.
Do novembra 2020. godine, Blackbaud je već bio tužen u 23 predložena slučaja kolektivnih tužbi potrošača u vezi s probojem sigurnosti iz maja 2020. u SAD-u i Kanadi.
U martu je kompanija takođe pristala da plati 3 miliona dolara za namirenje optužbi koje je podigla Komisija za hartije od vrednosti (SEC), navodeći da nije otkrila pun uticaj ransomware napada 2020.
Prema SEC-u, Blackbaudova tehnologija i osoblje za odnose s klijentima otkrili su da su napadači ukrali informacije o bankovnom računu donatora i brojeve socijalnog osiguranja. Međutim, nisu eskalirali stvar rukovodstvu zbog nedostatka odgovarajućih kontrola i procedura za otkrivanje podataka u kompaniji.
Nakon toga, Blackbaud je dostavio izvještaj SEC-a izostavljajući ključne detalje o punom obimu proboja. Osim toga, izvještaj je umanjio potencijalni rizik povezan s osjetljivim informacijama o donatorima kojima su napadači pristupili, opisujući ih kao hipotetičke.
Izvor: BleepingComputer