Η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) έχει βάλει στο στόχαστρο την Blackbaud, αφού η εταιρεία κατηγορήθηκε για ελλιπή ασφάλεια και κακές πρακτικές διατήρησης δεδομένων, που οδήγησαν σε μια επίθεση ransomware τον Μάιο του 2020 και σε παραβίαση δεδομένων που επηρέασε εκατομμύρια ανθρώπους.
Η Blackbaud είναι μια εταιρεία με έδρα τις ΗΠΑ με δραστηριότητες σε πολλές χώρες.
Η καταγγελία της FTC ισχυρίζεται ότι η εταιρεία “απέτυχε να παρακολουθήσει τις προσπάθειες των hackers να παραβιάσουν τα δίκτυά της, να τμηματοποιήσει τα δεδομένα για να εμποδίσει τους hackers να έχουν εύκολη πρόσβαση στα δίκτυα και τις βάσεις δεδομένων της, να διασφαλίσει τη διαγραφή των δεδομένων που δεν είναι πλέον απαραίτητα, να εφαρμόσει επαρκώς τον έλεγχο ταυτότητας πολλαπλών παραγόντων και να δοκιμάσει, να εξετάσει και να αξιολογήσει τους ελέγχους ασφαλείας της“. Επιπλέον, λέγεται ότι η Blackbaud επέτρεπε στους υπαλλήλους να χρησιμοποιούν προεπιλεγμένους και αδύναμους κωδικούς πρόσβασης για τους λογαριασμούς τους.
Δείτε επίσης: Keenan & Associates: Παραβίαση δεδομένων επηρεάζει 1,5 εκατ. πελάτες
Ως μέρος του διακανονισμού, η FTC διατάζει τον πάροχο λογισμικού να βελτιώσει τα μέτρα ασφαλείας του και να διαγράψει δεδομένα πελατών που δεν είναι πλέον απαραίτητα για την εταιρεία. Επίσης, θα πρέπει να φτιάξει ένα χρονοδιάγραμμα διατήρησης δεδομένων που θα εξηγεί γιατί και πόσο διατηρούνται τα προσωπικά δεδομένα.
Επιπλέον, η Blackbaud έλαβε εντολή να ειδοποιεί αμέσως την FTC σε περίπτωση παραβίασης δεδομένων.
Τέλος, η Blackbaud θα πρέπει να δημιουργήσει ένα πρόγραμμα ασφάλειας πληροφοριών που θα διορθώνει τις ανησυχίες που περιγράφονται στην καταγγελία της FTC.
Ο Samuel Levine της FTC εξηγεί ότι οι κακές πρακτικές ασφάλειας και διατήρησης δεδομένων της Blackbaud επέτρεψαν την επίθεση του 2020 και την κλοπή των δεδομένων των πελατών. Σύμφωνα με την FTC, η Blackbaud πλήρωσε στη συμμορία ransomware 24 Bitcoin (αξίας περίπου 250.000 $ τότε) αφού οι επιτιθέμενοι απείλησαν να διαρρεύσουν τα κλεμμένα δεδομένα στο διαδίκτυο.
Δείτε επίσης: Southern Water – παραβίαση δεδομένων: Η ransomware συμμορία Black Basta διέρρευσε δεδομένα
“Η εταιρεία δεν επαλήθευσε ποτέ, ωστόσο, ότι ο hacker διέγραψε πραγματικά τα κλεμμένα δεδομένα, σύμφωνα με την καταγγελία“, δήλωσε η FTC την Πέμπτη.
Η Blackbaud αποκάλυψε την παραβίαση τον Ιούλιο του 2020 και αργότερα αποκάλυψε ότι επηρέασε δεδομένα που ανήκαν σε περισσότερους από 13.000 επιχειρηματικούς πελάτες και τους πελάτες τους από τις ΗΠΑ, τον Καναδά, το Ηνωμένο Βασίλειο και την Ολλανδία. Η εταιρεία υπέβαλε μια κατάθεση 8-K στην Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) τον Σεπτέμβριο του 2020, αλλά δεν ανέφερε την πλήρη έκταση της παραβίασης, ενώ παράλληλα υποβάθμισε τον κίνδυνο της κλοπής δεδομένων.
Μέχρι τον Νοέμβριο του 2020, η εταιρεία είχε λάβει πολλές αγωγές από πελάτες, λόγω της παραβίασης.
Η Blackbaud συμφώνησε να πληρώσει 3 εκατομμύρια δολάρια τον Μάρτιο του 2023 για να διευθετήσει τις κατηγορίες της SEC, υπογραμμίζοντας την αποτυχία της να αποκαλύψει τον “πλήρη αντίκτυπο” της επίθεσης ransomware.
Τον Οκτώβριο, ο πάροχος συμφώνησε επίσης να πληρώσει 49,5 εκατομμύρια δολάρια για να διευθετήσει μια έρευνα για την παραβίαση, που υποστηριζόταν από γενικούς εισαγγελείς από 49 πολιτείες των ΗΠΑ.
Δείτε επίσης: Jason’s Deli: Παραβίαση δεδομένων πελατών μέσω credential stuffing
Προστασία από παραβιάσεις δεδομένων
Ένα από τα πρώτα βήματα για την πρόληψη των διαρροών δεδομένων είναι η εκπαίδευση του προσωπικού. Πολλές φορές, οι διαρροές δεδομένων προκύπτουν από ανθρώπινα λάθη, οπότε είναι σημαντικό να γνωρίζουν οι εργαζόμενοι πώς να χειρίζονται και να προστατεύουν τα εταιρικά δεδομένα.
Επιπλέον, η εφαρμογή ισχυρών πολιτικών ασφαλείας είναι κρίσιμη. Αυτό μπορεί να περιλαμβάνει την εφαρμογή διαδικασιών για την ασφαλή διαχείριση και αποθήκευση των δεδομένων, την χρήση κρυπτογράφησης για την προστασία των ευαίσθητων πληροφοριών και την εγκατάσταση προγραμμάτων ασφαλείας, όπως τα antivirus και τα firewalls.
Είναι επίσης σημαντικό να διατηρείται η ενημέρωση των συστημάτων και των εφαρμογών. Οι επιτιθέμενοι συχνά εκμεταλλεύονται τις ευπάθειες των παλαιότερων εκδόσεων του λογισμικού, οπότε είναι σημαντικό να ενημερώνονται τακτικά τα συστήματα και οι εφαρμογές.
Τέλος, η εφαρμογή ενός συστήματος διαχείρισης περιστατικών ασφαλείας μπορεί να βοηθήσει στην ανίχνευση και την αντιμετώπιση των πιθανών διαρροών δεδομένων. Αυτό μπορεί να περιλαμβάνει την παρακολούθηση των δικτυακών κινήσεων, την ανάλυση των απειλών και την ανάληψη δράσης όταν ανιχνεύεται μια πιθανή διαρροή.
Πηγή: www.bleepingcomputer.com
