Le fournisseur de cloud computing Blackbaud a conclu un accord de 49,5 millions de dollars avec les procureurs généraux de 49 États américains pour régler une enquête multi-états sur une attaque de ransomware en mai 2020 et la violation de données qui en a résulté.
Blackbaud est l’un des principaux fournisseurs de solutions logicielles destinées aux organisations à but non lucratif, telles que les associations caritatives, les écoles et les agences de santé, et se spécialise dans l’engagement des donateurs et la gestion des données des circonscriptions.
Ces données comprennent un large éventail d’informations sensibles telles que des détails démographiques, des numéros de sécurité sociale, des numéros de permis de conduire, des dossiers financiers, des données sur l’emploi, des informations sur la richesse, des historiques de dons et des informations de santé protégées.
Lors de la violation révélée par Blackbaud en juillet 2020, les données hautement sensibles appartenant à plus de 13 000 clients professionnels de Blackbaud et à leurs clients aux États-Unis, au Canada, au Royaume-Uni et aux Pays-Bas ont été compromises, affectant des millions de personnes.
Les attaquants ont volé les informations bancaires non cryptées, les identifiants de connexion et les numéros de sécurité sociale des clients. Blackbaud a accédé à la demande de rançon des attaquants après avoir été informé que toutes les données volées avaient été détruites.
Cette semaine Règlement de 49,5 millions de dollars répond aux allégations selon lesquelles Blackbaud aurait violé les lois de l’État sur la protection des consommateurs, les réglementations en matière de notification des violations et la Health Insurance Portability and Accountability Act (HIPAA).
« La négligence ne peut justifier la compromission des données des consommateurs. Les entreprises doivent s’engager à protéger les informations personnelles, en répondant aux attentes légitimes des consommateurs en matière de confidentialité et de protection des données. » dit Le procureur général de l’Ohio, Dave Yost.
Dans le cadre du règlement, Blackbaud doit également :
- Mettre en œuvre et maintenir un plan de réponse aux violations
- Apporter une assistance adaptée à ses clients en cas de manquement
- Signaler les incidents de sécurité à son PDG et à son conseil d’administration et offrir une formation améliorée aux employés.
- Mettre en œuvre des mesures de protection et des contrôles des informations personnelles nécessitant un cryptage total des bases de données et une surveillance du dark web
- Améliorez les défenses via la segmentation du réseau, la gestion des correctifs, la détection des intrusions, les pare-feu, les contrôles d’accès, la journalisation et la surveillance, ainsi que les tests d’intrusion.
- Autoriser les évaluations par des tiers de sa conformité au règlement pendant sept ans
Les conséquences d’une attaque de ransomware
Dans son rapport trimestriel du troisième trimestre 2020, la société a révélé il y a trois ans qu’au moins 43 procureurs généraux des États et du district de Columbia enquêtaient sur l’incident.
En novembre 2020, Blackbaud avait déjà été poursuivi dans le cadre de 23 recours collectifs de consommateurs proposés liés à la faille de sécurité de mai 2020 aux États-Unis et au Canada.
En mars, la société a également accepté de payer 3 millions de dollars pour régler les accusations portées par la Securities and Exchange Commission (SEC), alléguant qu’elle n’avait pas divulgué le plein impact de l’attaque de ransomware de 2020.
Selon la SEC, le personnel technologique et chargé des relations clients de Blackbaud a découvert que les attaquants avaient volé les informations sur le compte bancaire et les numéros de sécurité sociale des donateurs. Cependant, ils n’ont pas signalé l’affaire à la direction en raison du manque de contrôles et de procédures de divulgation appropriés au sein de l’entreprise.
Par la suite, Blackbaud a soumis un rapport à la SEC omettant des détails cruciaux sur l’ampleur de la violation. De plus, le rapport minimise le risque potentiel associé aux informations sensibles des donateurs auxquelles les attaquants ont accès, le qualifiant d’hypothétique.