Bulut yazılım sağlayıcısı Blackbaud, Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından getirilen suçlamaları çözmek için 3 milyon dolar ödemeyi kabul etti ve 13.000'den fazla müşteriyi etkileyen 2020 fidye yazılımı saldırısının tam etkisini açıklayamadığını iddia etti.
Olaydan etkilenen kuruluşlar arasında ABD, Kanada, İngiltere ve Hollanda'dan dünya çapında hayır kurumları, vakıflar, kar amacı gütmeyen kuruluşlar ve üniversiteler gibi birçok varlık bulunmaktadır.
SEC'in suçlamalarını çözmek için (ancak SEC'in bulgularını onaylamadan veya reddetmeden) Blackbaud, siber saldırının tam kapsamını açıklayamadığı için 3 milyon dolarlık bir sivil ceza ödemeyi kabul etti.
SEC Uygulama Bölümü'nün kripto varlıkları ve siber birimi başkanı David Hirsch, "Siparişin bulduğu gibi, Blackbaud, personelinin saldırı hakkındaki daha önceki kamuya açık ifadelerinin hatalı olduğunu öğrenmesine rağmen, fidye yazılımı saldırısının tam etkisini açıklayamadı." Dedi.
Diyerek şöyle devam etti: "Kamu şirketlerinin yatırımcılarına doğru ve zamanında önemli bilgiler sağlama yükümlülüğü var; Blackbaud bunu başaramadı."
SEC'e göre şirket, Temmuz 2020'de Mayıs 2020 fidye yazılımı saldırısının arkasındaki saldırganların bağışçı banka hesap detaylarına veya sosyal güvenlik numaralarına erişmediğini belirtti.
Ancak, Blackbaud'un teknolojisi ve müşteri ilişkileri personeli kısa süre sonra tehdit aktörlerinin bu hassas bilgilere eriştiğini ve çaldığını öğrendi.
Ne yazık ki, şirketin uygun açıklama kontrolleri ve prosedürlerinden yoksun olduğu için bunu yönetime bildiremediler. Bu, Blackbaud'un ertesi ay bir SEC raporu açmasına yol açtı ve bu da ihlalin kapsamı hakkında hayati bilgiler içermiyordu.
Ayrıca rapor, saldırganlar tarafından elde edilen bu tür hassas donör bilgilerinin riskinin sadece varsayımsal olduğunu yanıltıcı bir şekilde belirtmiştir.
Kasım 2020'ye kadar Blackbaud, SEC'e açılan 2020 Q3 üç aylık raporuna göre, ABD ve Kanada'da Mayıs 2020 Fidye yazılımı saldırısı ve veri ihlali ile ilgili önerilen 23 tüketici sınıfı eylem vakasında zaten dava açılmıştı.
Şirket ayrıca, 43 devlet avukatı generali ve Columbia Bölgesi adına yayınlanan çok devletli, konsolide bir sivil soruşturma talebi de dahil olmak üzere devlet kurumlarının ve veri düzenleyicilerinin de saldırı hakkında soruşturma yaptığını açıkladı.
Blackbaud ayrıca, Temmuz 2020 basın bülteninde (şimdi şirketin güvenlik sayfasına yönlendiriliyor), çalınan verilerin tahrip edildiğini onayladıktan sonra saldırganların talep ettiği fidye ödediğini doğruladı.
Blackbaud, "Müşterilerimizin verilerini korumak bizim önceliğimiz olduğu için, siber suçluların çıkardıkları kopyanın yok edildiğini onayla ödedik." Dedi.
"Olayın doğasına, araştırmamıza ve üçüncü taraf (kolluk kuvvetleri dahil) soruşturmasına dayanarak, herhangi bir verinin siber suçlamanın ötesine geçtiğine inanmak için hiçbir nedenimiz yok, yanlış kullanılacağına veya dağıtılacağına veya başka bir şekilde kullanılabilir hale getirileceğine halka açık. "
ABD Marshals Servisi Fidye Yazılımı Saldırısı, Veri Hırsızlığı
FBI, ABD Evi üyelerini ve personelini etkileyen veri ihlalini araştırıyor
Hatch Bank, Goany Where Mft Hack'ten sonra veri ihlalini açıklar
Hollanda Polisi 2,5 milyon € 'luk üç fidye yazılımı aktörünü tutukladı
Arnold Clark Müşteri Verileri, Play Ransomware tarafından talep edilen saldırıda çalındı
Kaynak: Bleeping Computer