.
A Blackbaud, que teve dados sobre milhões de pessoas roubados por um ou mais criminosos, prometeu reforçar as suas defesas de TI num acordo proposto com a FTC.
Ao anunciar o projeto de acordo, a chefe do órgão de vigilância dos EUA, Lina Khan, a comissária Rebecca Slaughter e o comissário Alvaro Bedoya criticaram a Blackbaud – um fornecedor de software em nuvem para escolas, instituições de caridade e outras organizações – por suas “práticas de segurança de dados injustas e enganosas” em um comunicado [PDF].
“A FTC acusa que as práticas imprudentes de retenção de dados da Blackbaud tornaram as suas falhas de segurança muito mais dispendiosas: ao acumular resmas de dados de que não precisava razoavelmente, a violação da Blackbaud expôs muito mais dados”, disseram.
“Além disso, a notificação da Blackbaud alertando as vítimas sobre a violação incluía declarações falsas, que a Blackbaud só corrigiu meses depois – e meses depois de saber que as declarações eram falsas.”
Em fevereiro de 2020, de acordo com uma reclamação formal [PDF] levantados pela FTC, os criminosos invadiram os bancos de dados da Blackbaud, permaneceram sem serem detectados por três meses e roubaram arquivos de cerca de 13.000 clientes do negócio. Esses arquivos continham “informações pessoais de milhões de consumidores”, disse o regulador
Depois de serem detectados, os invasores extorquiram o fabricante do software, e Blackbaud supostamente concordou em pagar aos malfeitores cerca de US$ 235 mil para que fossem embora silenciosamente e excluíssem quaisquer documentos furtados, de acordo com a denúncia da FTC. No entanto, Blackbaud não foi capaz de verificar se os criminosos realmente descartaram os dados roubados.
Então, em junho de 2020, a empresa finalmente conseguiu alertar seus clientes sobre a violação de privacidade. Na época, garantiu-lhes: “O cibercriminoso não acessou informações de cartão de crédito, informações de contas bancárias ou números de previdência social”.
Isso acabou sendo falso, disseram-nos. De acordo com a FTC, Blackbaud sabia já em 31 de julho de 2020, “que o invasor havia exfiltrado os números de contas bancárias e números de previdência social dos consumidores”. A empresa, no entanto, não divulgou isso aos clientes até outubro de 2020.
Em março de 2023, Blackbaud concordou em pagar US$ 3 milhões para resolver as acusações apresentadas pelo órgão de fiscalização financeira dos Estados Unidos, a SEC, acusando o player de TI de fazer declarações enganosas sobre seu fiasco de segurança.
Então, em outubro daquele ano, procuradores-gerais de todos os 50 estados dos EUA garantiram outro acordo de US$ 49,5 milhões sobre as “práticas deficientes de segurança de dados e resposta inadequada” da Blackbaud à violação da rede.
Como parte deste último acordo [PDF], intermediado pela FTC, a Blackbaud concordou em excluir ou destruir arquivos de backup de clientes contendo informações confidenciais que não são necessárias para fornecer produtos ou serviços a esses clientes. Isso deveria reduzir o risco de roubo de dados pessoais no futuro.
A Blackbaud também concordou em divulgar sua política atualizada de retenção de dados, descrevendo quais informações específicas dos clientes ela mantém, por que a empresa as possui e fornecendo um prazo sólido para a exclusão desses arquivos.
Além disso, a empresa precisa implementar um programa de segurança da informação reformulado que inclua, entre outras coisas, autenticação multifatorial; ferramentas de perda de dados; testes de penetração; e criptografia de, no mínimo, números de Seguro Social, números de passaporte, identificação fiscal, carteiras de motorista e outras identificações emitidas pelo governo dos clientes, além de informações de conta bancária, cartão de crédito e cartão de débito, datas de nascimento, informações médicas e usuário credenciais da conta.
Esta última parte é importante porque, de acordo com o cão de guarda, a falha de Blackbaud em encriptar dados sensíveis, além de reter esta informação por muito mais tempo do que o necessário, tornou a violação de segurança muito pior do que teria sido de outra forma.
Um porta-voz da Blackbaud disse Strong The One a empresa não admite nem nega nenhuma das alegações da FTC na sua proposta de acordo, que aguarda a aprovação final do regulador.
“Temos o prazer de resolver este assunto com a FTC”, disse Mike Gianoni, presidente e CEO da Blackbaud. “Proteger a privacidade dos nossos clientes e dos seus constituintes será sempre de suma importância para a Blackbaud, e continuamos a fortalecer os nossos programas de segurança cibernética e conformidade com o objetivo de melhorar a nossa resiliência num cenário de ameaças em constante mudança”. ®
.
