شرکت فناوری آموزشی Blackbaud موافقت کرد که با کمیسیون تجارت فدرال ایالات متحده در مورد اقدامات امنیتی شرکت که منجر به نقض اطلاعات در سال 2020 شد، توافق کند.

FTC ادعا می کند که Blackbaud، یک شرکت مستقر در ایالات متحده که نرم افزارهای مالی و اداری را برای کالج ها، موسسات غیرانتفاعی، سازمان های مراقبت های بهداشتی و سازمان های راست افراطی ارائه می دهد، پروتکل های امنیتی "سهل" داشته است که به مهاجمان اجازه می دهد تا شبکه شرکت را نقض کنند و به داده های شخصی دسترسی داشته باشند. میلیون ها مصرف کننده

در این حادثه فوریه 2020، هکرهای مخرب از اعتبار یک مشتری برای دسترسی به شبکه Blackbaud استفاده کردند، جایی که هکرها برای بیش از سه ماه ناشناخته ماندند و مقادیر انبوهی از داده‌های حساس رمزگذاری نشده مصرف‌کننده، از جمله شماره حساب‌های بانکی و تامین اجتماعی را استخراج کردند.

Blackbaud مستقر در کارولینای جنوبی در آن زمان به مشتریان متاثر بيان کرد که فقط نام ها، آدرس ها، آدرس های ایمیل و شماره تلفن ها دزدیده شده است و تاکید کرد که "مجرم سایبری به اطلاعات کارت اعتباری، اطلاعات حساب بانکی یا شماره های تامین اجتماعی دسترسی نداشته است. "

بلک‌باود، که FTC ادعا می‌کند بلک‌باود در اوایل ژوئیه 2020 می‌دانست که شماره‌های تامین اجتماعی و داده‌های مالی به سرقت رفته است، تا اواخر اکتبر همان سال گستره کامل نقض را فاش نکرد، و همچنین تأیید نکرد که داده‌های سرقت‌شده حذف شده‌اند. FTC پس از موافقت با پرداخت باج حدود 250000 دلاری مهاجمان گفت.

با توجه به شکایت FTC، Blackbaud در اجرای اقدامات امنیت سایبری مناسب برای جلوگیری از نقض داده ها شکست خورده است. رگولاتور همچنین ادعا می‌کند که این شرکت تلاش‌های هکرها برای نفوذ به شبکه‌هایش، بخش‌بندی داده‌ها، اجرای کافی احراز هویت چندعاملی، یا آزمایش، تحلیل و ارزیابی کنترل‌های امنیتی شرکتی خود را نظارت نکرده است. این شرکت همچنین به کارمندان اجازه داد تا از رمزهای عبور پیش‌فرض، ضعیف یا یکسان استفاده کنند، این شکایت ادعا می‌کند که نرم‌افزار و سیستم‌های قدیمی را به موقع اصلاح نکرده و شبکه‌های مشتریان را در معرض خطر حملات سایبری قرار می‌دهد.

Blackbaud همچنین به مشتریان اجازه می‌دهد تا شماره‌های تامین اجتماعی و اطلاعات حساب بانکی را در فیلدهای رمزگذاری‌نشده ذخیره کنند که به‌طور خاص برای آن اهداف تعیین نشده است. FTC گفت: «روش‌های رمزگذاری ناقص بلک‌باود شدت نقض داده‌ها را افزایش می‌دهد.

رگولاتور همچنین بلک‌باود را متهم کرده است که داده‌های مصرف‌کننده را برای سال‌ها فراتر از زمانی که نیاز بود، از جمله برای «مشتریانی که به محصولاتی که تحت تأثیر این نقض قرار نگرفته‌اند و حتی مشتریان بالقوه» تغییر داده‌اند، نگه داشته است.

ساموئل لوین، مدیر دفتر حمایت از مصرف‌کننده FTC، گفت: «روش‌های نامناسب امنیتی و حفظ داده‌های بلک‌باود به یک هکر اجازه می‌دهد تا داده‌های شخصی حساس میلیون‌ها مشتری را به دست آورد. «شرکت‌ها مسئولیت دارند که داده‌هایی را که نگهداری می‌کنند ایمن کنند و داده‌هایی را که دیگر نیازی ندارند حذف کنند.»

در بیانیه مشترکی، لینا کان، رئیس FTC و ربکا کلی اسلتر، کمیسیونرهای منصوب شده توسط دموکرات‌ها، آلوارو ام. بدویا، شرکت را متهم کردند که با حفظ داده‌هایی که شرکت به آن نیاز نداشت، «روش‌های بی‌احتیاطی نگهداری داده‌ها» را حفظ کرده است.

Blackbaud که به سؤالات TechCrunch پاسخ نداد، با حذف داده های اضافی و اصلاح شیوه های امنیت سایبری خود موافقت کرده است.

خبرکاو