.
Meses depois de escapar sem multa da Comissão Federal de Comércio dos EUA (FTC), a sorte do negócio de software em nuvem Blackbaud acabou quando se tratou de chegar a um acordo com o procurador-geral da Califórnia.
O desenvolvedor de aplicativos para educação, caridade e organizações sem fins lucrativos terá que pagar US$ 6,75 milhões depois que Rob Bonta criticou suas práticas de segurança cibernética e falta de transparência após seu ataque de ransomware em 2020.
“A Blackbaud não só falhou em proteger as informações pessoais dos consumidores, mas também enganou o público sobre o impacto total da violação de dados. Isto é simplesmente inaceitável”, disse o procurador-geral Bonta.
“O acordo de hoje garantirá que a Blackbaud priorize a proteção das informações pessoais dos consumidores e aprimore as medidas de segurança para evitar incidentes futuros.”
A reclamação da FTC [PDF] contra Blackbaud alegou uma série de falhas de segurança, muitas das quais foram repetidas por Bonta.
Os controles de senha, ou a falta deles, estavam no topo da lista. A equipe de Blackbaud supostamente usaria senhas padrão, fracas ou idênticas rotineiramente. E você também pode esquecer o MFA, pelo menos de acordo com a denúncia. Não havia nada disso envolvido se alguém quisesse se conectar remotamente a ambientes sensíveis.
A reclamação prosseguia dizendo que os eventos de segurança não eram monitorados suficientemente bem, as práticas de proteção e retenção de dados não eram adequadas, os patches eram ruins, a segurança do produto não era auditada adequadamente e muito mais.
Bonta disse que foram essas supostas falhas que levaram à violação de 2020, mas o verdadeiro problema foi que a empresa enganou o público durante dois meses sobre a escala do incidente.
A admissão pública veio em julho sobre o ataque ocorrido em maio. Blackbaud disse na época que não acreditava que nenhum dado tivesse sido roubado. Caso encerrado, ou talvez não.
Mais tarde, descobriu que, na verdade, uma quantia bastante grande foi levantada, incluindo as habituais informações de identificação pessoal (PII) e, em alguns outros casos, números de segurança social, dados bancários não criptografados e dados médicos foram roubados.
Um Formulário 8-K atualizado foi então emitido dizendo que os criminosos por trás dele “podem ter acessado alguns” dados.
Quanto ao motivo por trás da não divulgação do quadro completo em primeira instância, Blackbaud explicou que os funcionários tomaram conhecimento do possível comprometimento de dados, mas não informaram a alta administração porque a empresa “não tinha políticas ou procedimentos em vigor projetados para garantir que o fizessem, “, lêem-se documentos judiciais.
A divulgação atraiu mais críticas porque também revelou que os invasores se escondiam dentro dos sistemas de Blackbaud sem serem detectados por três meses, e sua publicação coincidiu com uma enorme confusão de segurança no que era então chamado de Twitter. Blackbaud insistiu que foi apenas uma coincidência.
A queixa da FTC alegava que foram roubados ficheiros pertencentes a cerca de 13.000 clientes, o que acabou por significar que milhões de indivíduos foram afectados. Instituições acadêmicas e universidades de alto nível representaram muitas das vítimas mais notáveis em todo o mundo, enquanto organizações sem fins lucrativos, como o National Trust do Reino Unido, também participaram de várias instituições de caridade e outras organizações internacionais.
O acordo de Blackbaud com Bonta é o último da saga, depois que a empresa fez um acordo anterior com os outros 49 AGs estaduais e o Distrito de Columbia em outubro de 2023 por uma quantia de US$ 49,5 milhões.
Além da multa de US$ 6,75 milhões, os termos do acordo de Bonta também incluíam disposições semelhantes feitas em acordos anteriores, principalmente em torno de fazer o básico da segurança da informação. Para evitar qualquer punição adicional, a Blackbaud terá de estabelecer uma política mínima de retenção de dados, práticas de senha muito melhoradas e controlos mais rígidos em torno da infraestrutura – nomeadamente o uso de segmentação e monitorização de rede.
Respondendo à multa de Bonta, Blackbaud disse O registro: “Blackbaud chegou a um acordo com o procurador-geral da Califórnia, resolvendo totalmente a última investigação restante do procurador-geral do estado dos EUA sobre o incidente de segurança da empresa em 2020.
“Os termos do acordo com a Califórnia são geralmente consistentes com aqueles com os quais Blackbaud concordou no acordo com os outros 49 procuradores-gerais estaduais e o Distrito de Columbia em 5 de outubro de 2023, conforme divulgado anteriormente.”
A multa abundante, equivalente a cerca de 1 milhão de dólares por estado, seguiu-se a um pagamento anterior de 3 milhões de dólares feito à SEC em troca de não admitir ou negar as conclusões do regulador financeiro.
No Reino Unido, Blackbaud recebeu o que chamamos de uma sanção surpreendentemente branda, equivalente a um pequeno tapa no pulso – feito em privado e apenas revelado graças a um pedido feito ao abrigo da Lei da Liberdade de Informação. ®
.
