Blackbaud a réglé avec la Federal Trade Commission après avoir été accusé de mauvaises pratiques de sécurité et de conservation imprudente des données, ce qui a conduit à une attaque de ransomware en mai 2020 et à une violation de données affectant des millions de personnes.

Blackbaud est une société américaine cotée au NASDAQ avec des opérations dans plusieurs pays et un fournisseur de logiciels de gestion des données des donateurs basés sur le cloud destinés aux organisations à but non lucratif, telles que les organisations caritatives, les organisations éducatives et les agences de santé.

La plainte de la FTC allègue que l’entreprise « n’a pas surveillé les tentatives de piratage de ses réseaux, segmenté les données pour empêcher les pirates d’accéder facilement à ses réseaux et bases de données, s’assurer que les données qui ne sont plus nécessaires sont supprimées, mettre en œuvre de manière adéquate l’authentification multifacteur et tester, examiner et évaluer ses contrôles de sécurité » et « a permis aux employés d’utiliser des mots de passe par défaut, faibles ou identiques pour leurs comptes. »

Dans le cadre du règlement, la FTC a ordonné au fournisseur de logiciels d’améliorer ses mesures de sécurité et de s’assurer qu’il supprime toutes les données client qui ne sont plus nécessaires de ses systèmes.

Blackbaud ne pourra pas non plus décrire de manière inexacte ses protocoles de sécurité et de conservation des données et devra créer un programme de sécurité de l’information conçu pour rectifier les problèmes décrits dans la plainte de la FTC.

Selon l’ordonnance proposée, Blackbaud doit également établir un calendrier de conservation des données détaillant la justification de la conservation des données personnelles et précisant le calendrier de leur suppression. Blackbaud est également mandatée pour informer rapidement la FTC en cas de violation de données nécessitant un signalement aux agences locales, étatiques ou fédérales compétentes.

« Les pratiques médiocres de Blackbaud en matière de sécurité et de conservation des données ont permis à un pirate informatique d’obtenir des données personnelles sensibles sur des millions de consommateurs. Les entreprises ont la responsabilité de sécuriser les données qu’elles conservent et de supprimer les données dont elles n’ont plus besoin », a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC.

La FTC a déclaré que Blackbaud avait payé au gang de ransomwares qui avait volé les données personnelles de millions de personnes de ses systèmes une rançon de 24 Bitcoins (d’une valeur d’environ 250 000 dollars à l’époque) après que les attaquants eurent menacé de divulguer les données volées en ligne.

« La société n’a cependant jamais vérifié que le pirate informatique avait effectivement supprimé les données volées, selon la plainte », a déclaré la FTC jeudi.

Blackbaud a divulgué la violation en juillet 2020 et a révélé plus tard qu’elle affectait les données appartenant à plus de 13 000 clients professionnels Blackbaud et à leurs clients des États-Unis, du Canada, du Royaume-Uni et des Pays-Bas, y compris les informations bancaires, les numéros de sécurité sociale et les informations d’identification en clair.

Il a également déposé un dossier 8-K auprès de la Securities and Exchange Commission (SEC) des États-Unis en septembre 2020, qui a omis des détails cruciaux concernant toute l’étendue de la violation et minimisé le risque associé aux informations sensibles volées, les décrivant comme hypothétiques, selon la SEC.

En novembre 2020, la société était déjà défenderesse dans 23 recours collectifs proposés liés à la violation de mai 2020 aux États-Unis et au Canada.

Blackbaud a accepté de payer 3 millions de dollars en mars 2023 pour régler les accusations de la SEC soulignant son incapacité à divulguer le « plein impact » de l’attaque par ransomware. »

En octobre, le fournisseur de cloud a également accepté de payer 49,5 millions de dollars pour régler une enquête conjointe multi-États sur la violation soutenue par les procureurs généraux de 49 États américains.

« L’incapacité de Blackbaud à communiquer avec précision la portée et la gravité de la violation a gardé les victimes dans l’ignorance et les a retardées dans la prise de mesures de protection, aggravant encore une mauvaise situation », ont déclaré la présidente de la FTC Lina M. Khan, la commissaire Rebecca Kelly Slaughter et le commissaire Alvaro M. Bedoya dans un communiqué conjoint.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *