Blackbaud llegó a un acuerdo con la Comisión Federal de Comercio después de ser acusado de mala seguridad y prácticas imprudentes de retención de datos, lo que provocó un ataque de ransomware en mayo de 2020 y una violación de datos que afectó a millones de personas. Blackbaud es una empresa con sede en EE. UU. que cotiza en NASDAQ con operaciones en varios países y un proveedor de software de gestión de datos de donantes basado en la nube que atiende a organizaciones sin fines de lucro, como organizaciones benéficas, organizaciones educativas y agencias de atención médica. La denuncia de la FTC alega que la empresa “no supervisó los intentos de los piratas informáticos de violar sus redes, no segmentó los datos para evitar que los piratas informáticos accedieran fácilmente a sus redes y bases de datos, no se aseguró de que se eliminaran los datos que ya no eran necesarios, no implementó adecuadamente la autenticación multifactor y no probó, revisar y evaluar sus controles de seguridad” y “permitió a los empleados usar contraseñas predeterminadas, débiles o idénticas para sus cuentas”. Como parte del acuerdo, la FTC ordenó al proveedor de software que mejorara sus medidas de seguridad y se asegurara de eliminar de sus sistemas cualquier dato del cliente que ya no sea necesario. A Blackbaud también se le prohibirá retratar de manera inexacta sus protocolos de seguridad y retención de datos y se le exigirá que cree un programa de seguridad de la información diseñado para rectificar las preocupaciones descritas en la queja de la FTC. Según la orden propuesta, Blackbaud también debe establecer un cronograma de retención de datos que detalle el motivo de la retención de datos personales y especifique el cronograma para su eliminación. Blackbaud también tiene el mandato de notificar de inmediato a la FTC en caso de una violación de datos que requiera informar a las agencias locales, estatales o federales pertinentes. “Las malas prácticas de seguridad y retención de datos de Blackbaud permitieron a un pirata informático obtener datos personales confidenciales sobre millones de consumidores. Las empresas tienen la responsabilidad de proteger los datos que mantienen y eliminar los datos que ya no necesitan”, afirmó Samuel Levine, Director de la Oficina de Protección al Consumidor de la FTC. ​La FTC dice que Blackbaud pagó a la banda de ransomware que robó los datos personales de millones de personas de sus sistemas un rescate de 24 Bitcoin (por un valor de alrededor de 250.000 dólares en ese momento) después de que los atacantes amenazaran con filtrar los datos robados en línea. “Sin embargo, la compañía nunca verificó que el pirata informático realmente haya eliminado los datos robados, según la denuncia”, dijo la FTC el jueves. Blackbaud reveló la violación en julio de 2020 y luego reveló que afectó los datos pertenecientes a más de 13.000 clientes comerciales de Blackbaud y sus clientes de EE. UU., Canadá, el Reino Unido y los Países Bajos, incluida información bancaria, números de seguridad social y credenciales de texto sin formato. También presentó una presentación 8-K ante la Comisión de Bolsa y Valores de EE. UU. (SEC) en septiembre de 2020, que omitió detalles cruciales sobre el alcance total de la violación y minimizó el riesgo asociado con la información confidencial robada, describiéndola como hipotética. según la SEC. En noviembre de 2020, la empresa ya era demandada en 23 demandas colectivas propuestas relacionadas con la infracción de mayo de 2020 en Estados Unidos y Canadá. Blackbaud acordó pagar 3 millones de dólares en marzo de 2023 para resolver los cargos de la SEC que destacan su falta de divulgación del «impacto total» del ataque de ransomware. En octubre, el proveedor de la nube también acordó pagar 49,5 millones de dólares para resolver una investigación conjunta de varios estados sobre la violación respaldada por fiscales generales de 49 estados de EE. UU. «El hecho de que Blackbaud no transmitiera con precisión el alcance y la gravedad de la violación mantuvo a las víctimas en la ignorancia y les retrasó la posibilidad de tomar medidas protectoras, lo que empeoró aún más la situación», dijeron la presidenta de la FTC, Lina M. Khan, la comisionada Rebecca Kelly Slaughter y el comisionado Álvaro. M. Bedoya en comunicado conjunto. URL de la publicación original: https://www.bleepingcomputer.com/news/security/ftc-orders-blackbaud-to-boost-security-after-massive-data-breach/

Source link