A Blackbaud pagará $3 milhões por divulgar informações enganosas sobre o ataque de ransomware
13 de Março de 2023

O provedor de software em nuvem Blackbaud concordou em pagar US$ 3 milhões para resolver acusações apresentadas pela Securities and Exchange Commission (SEC), alegando que a empresa não divulgou o impacto total de um ataque de ransomware de 2020 que afetou mais de 13.000 clientes.

As organizações impactadas pelo incidente incluem muitas entidades, como instituições de caridade, fundações, organizações sem fins lucrativos e universidades em todo o mundo, dos EUA, Canadá, Reino Unido e Holanda.

Para resolver as acusações da SEC (mas sem confirmar ou negar as descobertas da SEC), a Blackbaud concordou em pagar uma multa civil de US$ 3 milhões por não divulgar o escopo total do ataque cibernético.

"Conforme a ordem, a Blackbaud não divulgou o impacto total de um ataque de ransomware, apesar de seu pessoal ter aprendido que suas declarações públicas anteriores sobre o ataque eram errôneas", disse David Hirsch, chefe da Unidade de Ativos Criptográficos e Cyber da Divisão de Execução da SEC.

"As empresas públicas têm a obrigação de fornecer aos seus investidores informações precisas e oportunas; a Blackbaud não o fez".

De acordo com a SEC, a empresa afirmou em julho de 2020 que os atacantes por trás do ataque de ransomware de maio de 2020 não haviam obtido acesso a detalhes da conta bancária ou números de segurança social dos doadores.

No entanto, a equipe de tecnologia e relacionamento com o cliente da Blackbaud logo descobriu que os atores da ameaça haviam acessado e roubado essas informações confidenciais.

Infelizmente, eles deixaram de informar à administração, pois a empresa não tinha controles e procedimentos adequados de divulgação.

Isso levou a Blackbaud a apresentar um relatório à SEC no mês seguinte, que não incluía informações vitais sobre a extensão da violação.

Além disso, o relatório afirmava de forma enganosa que o risco de informações doadores confidenciais obtidas por atacantes era apenas hipotético.

O ataque foi investigado pelos procuradores-gerais de 43 estados.

Até novembro de 2020, a Blackbaud já havia sido processada em 23 casos propostos de ação coletiva do consumidor nos Estados Unidos e Canadá relacionados ao ataque de ransomware e violação de dados de maio de 2020, de acordo com o relatório trimestral Q3 de 2020 apresentado à SEC.

A empresa também revelou que agências governamentais e reguladores de dados, incluindo uma Demanda Investigativa Civil consolidada de vários estados em nome de 43 procuradores-gerais e do Distrito de Columbia, também fizeram perguntas sobre o ataque.

A Blackbaud também confirmou em seu comunicado de imprensa de julho de 2020 (que agora redireciona para a página de segurança da empresa) que pagou o resgate solicitado pelos atacantes depois de receber a confirmação de que todos os dados roubados foram destruídos.

"Porque proteger os dados de nossos clientes é nossa principal prioridade, pagamos a exigência do cibercriminoso com a confirmação de que a cópia que eles removeram foi destruída", disse a Blackbaud.

"Com base na natureza do incidente, em nossa pesquisa e investigação de terceiros (incluindo aplicação da lei), não temos motivos para acreditar que nenhum dado foi além do cibercriminoso, foi ou será mal utilizado; ou será disseminado ou disponibilizado publicamente".

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...