Le fournisseur de logiciels cloud Blackbaud a accepté de payer 3 millions de dollars pour régler les accusations portées par la Securities and Exchange Commission (SEC), alléguant qu’il n’a pas divulgué le plein impact d’une attaque de ransomware de 2020 qui a touché plus de 13 000 clients.
Les organisations touchées par l’incident comprennent de nombreuses entités, telles que des organismes de bienfaisance, des fondations, des organisations à but non lucratif et des universités du monde entier, des États-Unis, du Canada, du Royaume-Uni et des Pays-Bas.
Pour régler les accusations de la SEC (mais sans confirmer ni infirmer les conclusions de la SEC), Blackbaud a accepté de payer une amende civile de 3 millions de dollars pour avoir omis de divulguer l’étendue complète de la cyberattaque.
« Comme l’indique l’ordonnance, Blackbaud n’a pas divulgué le plein impact d’une attaque de ransomware bien que son personnel ait appris que ses déclarations publiques antérieures sur l’attaque étaient erronées », a déclaré David Hirsch, chef de la division Crypto Assets and Cyber Unit de la SEC Enforcement Division.
« Les entreprises publiques ont l’obligation de fournir à leurs investisseurs des informations importantes exactes et opportunes ; Blackbaud ne l’a pas fait. »
Selon la SEC, la société a déclaré en juillet 2020 que les attaquants à l’origine de l’attaque de ransomware de mai 2020 n’avaient pas eu accès aux coordonnées bancaires des donateurs ni aux numéros de sécurité sociale.
Cependant, le personnel de technologie et de relations clients de Blackbaud a rapidement appris que les acteurs de la menace avaient accédé à ces informations sensibles et les avaient volées.
Malheureusement, ils ont omis de le signaler à la direction car la société ne disposait pas de contrôles et de procédures de divulgation appropriés. Cela a conduit Blackbaud à déposer un rapport SEC le mois suivant, qui n’incluait pas d’informations vitales sur l’étendue de la violation.
En outre, le rapport a déclaré de manière trompeuse que le risque que des informations aussi sensibles sur les donneurs soient obtenues par des attaquants n’était qu’hypothétique.
Attaque enquêtée par les procureurs généraux de 43 États
Jusqu’en novembre 2020, Blackbaud avait déjà été poursuivi dans 23 recours collectifs proposés aux consommateurs aux États-Unis et au Canada liés à l’attaque de ransomware et à la violation de données de mai 2020, selon le rapport trimestriel du troisième trimestre 2020 déposé auprès de la SEC.
La société a également révélé que des agences gouvernementales et des régulateurs de données, y compris une demande d’enquête civile consolidée multi-États émise au nom de 43 procureurs généraux des États et du district de Columbia, ont également enquêté sur l’attaque.
Blackbaud a également confirmé dans son communiqué de presse de juillet 2020 (qui redirige désormais vers la page de sécurité de l’entreprise) qu’il avait payé la rançon demandée par les attaquants après avoir reçu la confirmation que toutes les données volées avaient été détruites.
« Parce que la protection des données de nos clients est notre priorité absolue, nous avons payé la demande du cybercriminel en confirmant que la copie qu’il a supprimée avait été détruite », a déclaré Blackbaud.
« Sur la base de la nature de l’incident, de nos recherches et de l’enquête d’un tiers (y compris les forces de l’ordre), nous n’avons aucune raison de croire que des données sont allées au-delà du cybercriminel, ont été ou seront utilisées à mauvais escient ; ou seront diffusées ou autrement mises à disposition publiquement. »