O provedor de computação em nuvem, Blackbaud, chegou a um acordo de US$ 49,5 milhões com procuradores-gerais de 49 estados dos EUA para encerrar uma investigação que envolve vários estados sobre um ataque de ransomware em maio de 2020 e a consequente violação de dados.
A Blackbaud é líder no fornecimento de soluções de software voltadas para organizações sem fins lucrativos, como instituições de caridade, escolas e agências de saúde, especializada em engajamento de doadores e gerenciamento de dados de eleitores.
Esses dados incluem uma ampla variedade de informações sensíveis, como detalhes demográficos, números da Previdência Social, números de licenças de motorista, registros financeiros, dados de emprego, informações de riqueza, históricos de doações e informações de saúde protegidas.
Na violação divulgada pela Blackbaud em julho de 2020, os dados altamente sensíveis pertencentes a mais de 13.000 clientes empresariais da Blackbaud e seus clientes dos EUA, Canadá, Reino Unido e Holanda foram comprometidos, afetando milhões de indivíduos.
Os agressores roubaram informações bancárias não criptografadas de clientes, credenciais de login e números da Previdência Social.
A Blackbaud cumpriu a exigência de resgate dos agressores depois de ser informada de que todos os dados roubados foram destruídos.
O acordo de $49,5 milhões desta semana aborda alegações de que a Blackbaud violou as leis de proteção ao consumidor estaduais, regulamentos de notificação de violação e o Ato de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA).
"Descuido não pode justificar o comprometimento dos dados dos consumidores.
As empresas devem estar comprometidas em salvaguardar as informações pessoais, atendendo às expectativas legítimas dos consumidores em relação à privacidade e proteção de dados", disse o procurador-geral de Ohio, Dave Yost.
Como parte do acordo, a Blackbaud também deve:
Implementar e manter um plano de resposta a violações
Fornecer assistência adequada aos seus clientes em caso de violação
Relatar incidentes de segurança ao seu CEO e conselho e fornecer treinamento aprimorado para funcionários
Implementar salvaguardas e controles de informações pessoais que exigem criptografia total de banco de dados e monitoramento da dark web
Melhorar defesas através de segmentação de rede, gestão de patches, detecção de intrusões, firewalls, controles de acesso, registro e monitoramento e testes de penetração
Permitir avaliações de terceiros sobre sua conformidade com o acordo por sete anos
Em seu relatório trimestral Q3 de 2020, a empresa revelou que, três anos atrás, pelo menos 43 procuradores gerais estaduais e o Distrito de Columbia estavam investigando o incidente.
Em novembro de 2020, a Blackbaud já havia sido processada em 23 ações coletivas propostas por consumidores relacionadas à violação de segurança de maio de 2020 nos EUA e no Canadá.
Em março, a empresa também concordou em pagar US$ 3 milhões para encerrar as acusações feitas pela Comissão de Bolsa de Valores (SEC), alegando que ela não revelou o impacto total do ataque de ransomware de 2020.
Segundo a SEC, o pessoal de tecnologia e de relações com os clientes da Blackbaud descobriu que os agressores roubaram informações de contas bancárias de doadores e números de Previdência Social.
No entanto, eles não escalaram o problema para a administração devido à falta de controles e procedimentos adequados de divulgação da empresa.
Posteriormente, a Blackbaud enviou um relatório à SEC omitindo detalhes cruciais sobre o escopo total da violação.
Além disso, o relatório minimizou o risco potencial associado à informações sensíveis de doadores acessadas pelos agressores, descrevendo-o como hipotético.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...