Blackbaud, a quien uno o más delincuentes le robaron datos sobre millones de personas, ha prometido reforzar sus defensas de TI en una propuesta de acuerdo con la FTC. Al anunciar el borrador del acuerdo, la jefa del organismo de control estadounidense Lina Khan, la comisionada Rebecca Slaughter y el comisionado Álvaro Bedoya criticaron a Blackbaud, un proveedor de software en la nube para escuelas, organizaciones benéficas y otras organizaciones, por sus «prácticas de seguridad de datos injustas y engañosas» en una declaración. [PDF]. «La FTC acusa que las imprudentes prácticas de retención de datos de Blackbaud hicieron que sus fallas de seguridad fueran mucho más costosas: al acumular una gran cantidad de datos que no necesitaba razonablemente, la violación de Blackbaud expuso muchos más datos», dijeron. «Además, la notificación de Blackbaud alertando a las víctimas de la violación incluía declaraciones falsas, que Blackbaud no corrigió hasta meses después, y meses después de saber que las declaraciones eran falsas». En febrero de 2020, según denuncia formal [PDF] planteados por la FTC, los delincuentes irrumpieron en las bases de datos de Blackbaud, permanecieron sin ser detectados durante tres meses y robaron archivos de unos 13.000 de los clientes del negocio. Esos archivos contenían «la información personal de millones de consumidores», dijo el regulador. Después de ser detectados, los intrusos extorsionaron al fabricante de software, y Blackbaud supuestamente acordó pagar a los malhechores unos 235.000 dólares para que se fueran silenciosamente y borraran cualquier documento robado, según el Denuncia de la FTC. Sin embargo, Blackbaud no pudo verificar que los delincuentes realmente eliminaran los datos robados. Luego, en junio de 2020, la empresa finalmente logró alertar a sus clientes sobre la violación de la privacidad. En su momento les aseguró: “El ciberdelincuente no accedió a información de tarjetas de crédito, información de cuentas bancarias ni números de seguro social”. Se nos dice que esto resultó ser falso. Según la FTC, Blackbaud sabía ya el 31 de julio de 2020 «que el atacante había extraído los números de cuentas bancarias y de seguridad social de los consumidores». Sin embargo, la empresa no lo reveló a los clientes hasta octubre de 2020. En marzo de 2023, Blackbaud acordó pagar 3 millones de dólares para resolver los cargos presentados por el organismo de control financiero de Estados Unidos, la SEC, que acusaba al actor de TI de hacer declaraciones engañosas sobre su fiasco de seguridad. Luego, en octubre de ese año, los fiscales generales de los 50 estados de EE. UU. consiguieron otro acuerdo de 49,5 millones de dólares por las «prácticas deficientes de seguridad de datos y la respuesta inadecuada» de Blackbaud a la violación de la red. Como parte de este último acuerdo [PDF]Con la intermediación de la FTC, Blackbaud acordó eliminar o destruir los archivos de respaldo de los clientes que contengan información confidencial que no sea necesaria para proporcionar productos o servicios a estos clientes. Se supone que esto reducirá el riesgo de robo de datos personales en el futuro. Blackbaud también acordó publicar su política de retención de datos actualizada, describiendo qué información específica del cliente mantiene, por qué la tiene y brindando un plazo sólido para eliminar estos archivos. Además, la empresa debe implementar un programa de seguridad de la información revisado que incluya, entre otras cosas, autenticación multifactor; herramientas de pérdida de datos; pruebas de penetración; y cifrado de, como mínimo, los números de Seguro Social, números de pasaporte, identificaciones fiscales, permisos de conducir y otras identificaciones emitidas por el gobierno de los clientes, además de información de cuentas bancarias, tarjetas de crédito y débito, fechas de nacimiento, información médica y datos de usuario. Credenciales de cuenta. Esta última parte es importante porque, según el organismo de control, el hecho de que Blackbaud no cifrara datos confidenciales, además de conservar esta información durante mucho más tiempo del necesario, hizo que la violación de seguridad fuera mucho peor de lo que hubiera sido de otra manera. Un portavoz de Blackbaud dijo a The Register que la compañía no admite ni niega ninguna de las acusaciones de la FTC en su propuesta de acuerdo, que está esperando la aprobación final del regulador. «Nos complace resolver este asunto con la FTC», afirmó Mike Gianoni, presidente y director ejecutivo de Blackbaud. «Proteger la privacidad de nuestros clientes y sus electores siempre será de suma importancia para Blackbaud, y continuamos fortaleciendo nuestros programas de ciberseguridad y cumplimiento con el objetivo de mejorar nuestra resiliencia en un panorama de amenazas en constante cambio». ®

Source link