FTC ordena que a Blackbaud aumente a segurança após enorme violação de dados
2 de Fevereiro de 2024

A Blackbaud chegou a um acordo com o Federal Trade Commission após ser acusada de segurança fraca e práticas imprudentes de retenção de dados, levando a um ataque de ransomware em maio de 2020 e a uma violação de dados que afetou milhões de pessoas.

A Blackbaud é uma empresa baseada nos EUA, listada no NASDAQ, com operações em vários países e fornecedora de software de gerenciamento de dados de doadores baseado em nuvem, que atende a organizações sem fins lucrativos, como instituições de caridade, organizações educacionais e agências de saúde.

A queixa da FTC alega que a empresa "falhou em monitorar tentativas de hackers para violar suas redes, segmentar dados para evitar que hackers acessem facilmente suas redes e bancos de dados, garantir que os dados que não são mais necessários sejam excluídos, implementar adequadamente a autenticação multifator, e testar, revisar e avaliar seus controles de segurança" e "permitiu que os funcionários usassem senhas padrão, fracas ou idênticas para suas contas."

Como parte do acordo, a FTC ordenou que o provedor de software melhore suas medidas de segurança e garanta que exclua de seus sistemas quaisquer dados de clientes que não sejam mais necessários.

A Blackbaud também será impedida de retratar imprecisamente seus protocolos de segurança e retenção de dados e será obrigada a criar um programa de segurança da informação projetado para corrigir as preocupações descritas na queixa da FTC.

De acordo com a proposta de ordem, a Blackbaud também deve estabelecer um cronograma de retenção de dados detalhando a justificativa por trás da retenção de dados pessoais e especificando o cronograma para sua exclusão.

A Blackbaud também é obrigada a notificar prontamente a FTC no caso de uma violação de dados que requer notificação aos departamentos locais, estaduais ou federais.

"As práticas de segurança e retenção de dados negligentes da Blackbaud permitiram que um hacker obtivesse dados pessoais sensíveis sobre milhões de consumidores.

As empresas têm a responsabilidade de proteger os dados que mantêm e excluir os dados de que não mais necessitam", disse Samuel Levine, Diretor do Escritório de Proteção ao Consumidor da FTC.

A FTC afirma que a Blackbaud pagou ao grupo de ransomware que roubou os dados pessoais de milhões de pessoas de seus sistemas um resgate de 24 Bitcoin (valor cerca de 250.000 dólares na época) após os atacantes ameaçarem vazar os dados roubados online.

"A empresa, no entanto, nunca verificou se o hacker realmente excluiu os dados roubados, de acordo com a queixa," disse a FTC na quinta-feira.

A Blackbaud divulgou a violação em julho de 2020 e depois revelou que isso impactou dados pertencentes a mais de 13.000 clientes comerciais da Blackbaud e seus clientes dos EUA, Canadá, Reino Unido e Holanda, incluindo informações bancárias, números da previdência social e credenciais em texto simples.

Ela também apresentou um registro 8-K à Comissão de Títulos e Câmbio dos EUA (SEC) em setembro de 2020, que omitiu detalhes cruciais sobre o escopo total da violação e minimizou o risco associado às informações sensíveis roubadas, descrevendo-as como hipotéticas, de acordo com a SEC.

Em novembro de 2020, a empresa já era ré em 23 ações judiciais coletivas propostas relacionadas à violação de maio de 2020 nos EUA e Canadá .

A Blackbaud concordou em pagar 3 milhões de dólares em março de 2023 para resolver as acusações da SEC destacando sua falha em divulgar o "impacto total" do ataque de ransomware.

Em outubro, o provedor de nuvem também concordou em pagar 49,5 milhões de dólares para resolver uma investigação conjunta multiestadual apoiada por procuradores-gerais de 49 estados dos EUA.

"A falha da Blackbaud em transmitir com precisão o escopo e a gravidade da violação manteve as vítimas no escuro e as impediu de tomar medidas protetoras, tornando uma situação ruim ainda pior," disseram a presidente da FTC Lina M.

Khan, a comissária Rebecca Kelly Slaughter e o comissário Alvaro M.

Bedoya.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...