La ciberseguridad de la empresa de servicios de datos y software Blackbaud fue criticada como «laxa» y «de mala calidad» por la Comisión Federal de Comercio de los Estados Unidos (FTC) en una autopsia condenatoria de la violación de datos de la empresa en febrero de 2020. Según la FTC, la deficiente violación de seguridad de Blackbaud en febrero de 2020, un pirata informático accedió a las bases de datos de clientes de la empresa y robó información personal de millones de consumidores en los Estados Unidos, Canadá, el Reino Unido y los Países Bajos. Los clientes afectados de Blackbaud son principalmente organizaciones sin fines de lucro, como agencias de atención médica, organizaciones benéficas, y organizaciones educativas. Los datos robados por el pirata informático incluían información personal no cifrada, como nombres completos de consumidores y donantes, edades, fechas de nacimiento, números de seguro social, direcciones, números de teléfono, direcciones de correo electrónico, detalles financieros (información de cuenta bancaria, estimación patrimonio y activos identificados), información médica y de seguros de salud, género, creencias religiosas, estado civil, nombres de los cónyuges, historial de donaciones de los cónyuges, detalles de empleo, salarios, educación y credenciales de cuentas. La falla de seguridad se vio exacerbada por el hecho de que Blackbaud no hizo cumplir sus propias políticas de retención de datos, provocando que los datos de los clientes se conserven durante años más de lo necesario. Blackbaud también retuvo datos de clientes antiguos y potenciales durante años más de lo necesario. Todo esto fue un tesoro para el atacante, que exigió un rescate a Blackbaud o amenazó con exponer los datos robados. La empresa pagó 24 Bitcoin (por valor de 235.000 dólares estadounidenses) al pirata informático, pero no pudo verificar si eliminó los datos. Las malas prácticas de retención de datos no fueron las únicas quejas de la FTC sobre el manejo del incidente por parte de Blackbaud. La FTC criticó a la empresa por no notificar a los clientes sobre la infracción durante dos meses después de la detección, diciendo que Blackbaud había «tergiversado el alcance y la gravedad de la infracción después de una investigación extremadamente inexacta». Según la notificación de infracción de clientes de Blackbaud del 16 de julio de 2020, «el ciberdelincuente no accedió al crédito información de tarjeta, información de cuenta bancaria o números de seguro social… No se requiere ninguna acción por su parte porque no se accedió a ninguna información personal sobre sus electores.» Sin embargo, según la FTC, Blackbaud sabía a finales de julio que el atacante había robado a los consumidores ‘ números de cuentas bancarias y números de seguridad social, pero no los reveló a sus clientes hasta octubre de 2020. El veredicto de la FTC fue condenatorio:»Las declaraciones engañosas de Blackbaud, combinadas con los largos meses de demora en proporcionar un aviso preciso sobre la violación, llevaron a muchos a los clientes creer que la notificación a sus consumidores era innecesaria. Debido a esta demora en el aviso, los consumidores sufrieron daños adicionales porque no tenían forma de saber que necesitaban tomar medidas mitigantes para protegerse del robo de identidad». El informe completo de la FTC es una lectura impactante, que revela que Blackbaud «no supervisó los intentos por piratas informáticos para violar sus redes, segmentar datos para evitar que los piratas informáticos accedan fácilmente a sus redes y bases de datos, garantizar que se eliminen los datos que ya no son necesarios, implementar adecuadamente la autenticación multifactor y probar, revisar y evaluar sus controles de seguridad» y que «permitió empleados a utilizar contraseñas predeterminadas, débiles o idénticas para sus cuentas. «Como parte de un acuerdo con la FTC, se ha ordenado a Blackbaud reforzar su seguridad y eliminar datos innecesarios de los clientes». Las malas prácticas de seguridad y retención de datos de Blackbaud permitieron a un hacker obtener datos personales confidenciales sobre millones de consumidores», dijo Samuel Levine, Director de la Oficina de Protección al Consumidor de la FTC. «Las empresas tienen la responsabilidad de proteger los datos que mantienen y de eliminar los datos que ya no necesitan». El año pasado, Blackbaud acordó pagar un cargo de 3 millones de dólares por parte de la SEC por divulgaciones engañosas sobre su ataque de ransomware, omisión de información importante en un informe trimestral y «caracterizó engañosamente» el riesgo como «hipotético». Blackbaud acordó pagar 49,5 millones de dólares para resolver las demandas presentadas por los fiscales generales de 49 estados de EE. UU. y Washington DC. El hecho de que Blackbaud no haya asegurado sus sistemas y los datos confiados ha sido muy costoso para la empresa (multada, reputación dañada), para los clientes sin fines de lucro y para el público en riesgo de robo de identidad sin culpa alguna.

Source link