Datenverwaltungsunternehmen zahlt 3 Millionen US-Dollar als Vergleich mit FBI wegen Ransomware-Offenlegungen im Jahr 2020
Blackbaud Inc., dasjenige Software zur Verwaltung von Spenderdaten an gemeinnützige Organisationen verkauft, erklärte sich am Mitte der Woche fertig, welcher Securities and Exchange Commission 3 Mio. US-Dollar in einem Vergleich hoch die Offenlegung eines Ransomware-Angriffs im Jahr 2020 zu zahlen.
Die SEC beschuldigte Blackbaud, gegen Bundesgesetze verstoßen zu nach sich ziehen, während es irreführende Offenlegungen machte, in denen nicht welcher volle Umfang welcher nebst dem Cyberangriff beschlagnahmten Kundeninformationen erwähnt wurde. Ein Teil dieses Versagens war darauf zurückzuführen, dass Mitwirkender des Unternehmens es versäumten, dasjenige obere Management darüber zu informieren, dass sensible Statistik gestohlen wurden.
Am 14. Mai 2020 entdeckte Blackbaud, dass schon seit dieser Zeit Februar 2020 Leckermaul unbefugt gen ihre internen Systeme zugegriffen hatte, und fand News des Täters, dass Kundendaten aus dem System entnommen wurden.
Jener Angreifer forderte Lösegeld für jedes die Löschung welcher gestohlenen Statistik. Ein Drittanbieter wurde betraut, dies zu untersuchen und die Kommunikation mit dem Angreifer zu organisieren, um schließlich die Zahlung des Lösegelds zu organisieren.
Solange bis zum 16. Juli 2020 stellte Blackbaud straff, dass mindestens eine Million Dateien von hoch 13.000 Kunden entwendet worden waren. Mehrere Produkte, darunter mehrere Versionen welcher Spenderverwaltungssoftware von Blackbaud, waren ebenfalls von dem Überfall betroffen.
An diesem Tag machte Blackbaud den Überfall publik, untergeordnet im Vergleich zu den hoch 13.000 betroffenen Kunden. In welcher Offenlegung sagte Blackbaud, dass welcher Kriminelle nicht gen Bankkontoinformationen oder Sozialversicherungsnummern zugegriffen habe.
In den Tagen im Folgenden erhielt Blackbaud hoch 1.000 News von Kunden in Sachen des Cyberangriffs. Mehrere Kunden äußerten Ungewissheit in Form von welcher Möglichkeit, dass Spender-Banking- und Sozialversicherungsdaten mit unverschlüsselten Feldern in die Blackbaud-Software hochgeladen oder jenseitig in unverschlüsselte Anhänge aufgenommen wurden.
Solange bis zum 21. Juli 2020 hatte Blackbaud damit begonnen, den Kunden anzuerkennen, dass ihre Befürchtungen hoch unverschlüsselte Felder und Anhänge wahr waren. Solange bis Finale des Monats hatte Blackbaud bestätigt, dass welcher Kriminelle Sozialversicherungs- und Bankdaten des Spenders gestohlen hatte.
Die Techniker und Kundendienstmitarbeiter, die den Klauerei dieser Informationen bestätigt hatten, informierten die Geschäftsleitung nicht. Es gab keine interne Richtlinie, um dies sicherzustellen, sagte die SEC.
Infolgedessen erwähnte Blackbaud in einer nachfolgenden SEC-Eintragung im August 2020 nicht, dass die Bankdaten und Sozialversicherungsnummern welcher Spender ihrer Kunden gestohlen worden waren.
In einer Einsendung vom 29. September 2020 gab dasjenige Unternehmen schließlich zu, dass welcher Cyberkriminelle unter Umständen gen die unverschlüsselten Felder zugegriffen hat, die für jedes sensible Spenderdaten eindeutig sind. Ungefähr zu dieser Zeit wurde Kunden, von denen Blackbaud glaubte, dass Statistik gestohlen wurden, dies mitgeteilt.
Die Fahrlässigkeit des Personals und die daraus resultierenden falschen Offenlegungen durch die Geschäftsleitung verstießen gegen Bundesgesetze, sagte die SEC, obwohl dasjenige Management sich welcher Verstöße nicht gewahr war, qua sie begangen wurden.
Blackbaud erklärte sich fertig, den Vergleich zu zahlen und Verstöße zu stoppen, während sichergestellt wird, dass die Gesamtheit relevanten Informationen hoch Datenschutzverletzungen die für jedes die Offenlegung zuständigen leitenden Mitwirkender glücken. Blackbaud hat derbei die Behauptungen welcher SEC weder zugegeben noch dementiert.
