La société de technologie éducative Blackbaud a accepté de régler avec la Federal Trade Commission des États-Unis les pratiques de sécurité de l’entreprise qui ont entraîné une violation de données en 2020.
La FTC allègue que Blackbaud, une société basée aux États-Unis qui fournit des logiciels financiers et administratifs aux universités, aux organisations à but non lucratif, aux organismes de santé et aux organisations d’extrême droite, avait des protocoles de sécurité « laxistes » qui permettaient aux attaquants de violer le réseau de l’entreprise et d’accéder aux données personnelles des personnes. des millions de consommateurs.
Cet incident de février 2020 a vu des pirates informatiques malveillants utiliser les informations d’identification d’un client pour accéder au réseau de Blackbaud, où les pirates sont restés inaperçus pendant plus de trois mois et ont exfiltré des quantités massives de données sensibles non cryptées des consommateurs, notamment des numéros de sécurité sociale et de comptes bancaires.
Blackbaud, basé en Caroline du Sud, avait déclaré à l’époque aux clients concernés que seuls les noms, adresses, adresses e-mail et numéros de téléphone avaient été volés, affirmant que « le cybercriminel n’avait pas accès aux informations de carte de crédit, aux informations de compte bancaire ou aux numéros de sécurité sociale ».
Blackbaud, qui, selon la FTC, savait dès juillet 2020 que des numéros de sécurité sociale et des données financières avaient été volés, n’a révélé l’étendue complète de la violation que plus tard en octobre, et n’a pas non plus vérifié que les données volées avaient été supprimées après acceptant de payer une rançon d’environ 250 000 dollars aux attaquants, a indiqué la FTC.
Selon la plainte de la FTC, Blackbaud n’a pas mis en œuvre les mesures de cybersécurité appropriées pour empêcher une violation de données. Le régulateur allègue également que l’entreprise n’a pas surveillé les tentatives des pirates informatiques visant à pénétrer dans ses réseaux, à segmenter les données, à mettre en œuvre de manière adéquate l’authentification multifacteur ou à tester, examiner et évaluer ses contrôles de sécurité d’entreprise. L’entreprise a également autorisé ses employés à utiliser des mots de passe par défaut, faibles ou identiques, selon la plainte, et n’a pas réussi à corriger les logiciels et systèmes obsolètes en temps opportun, exposant ainsi les réseaux des clients à un risque de cyberattaques.
Blackbaud a également autorisé ses clients à stocker leurs numéros de sécurité sociale et leurs informations bancaires dans des champs non cryptés non spécifiquement désignés à ces fins, selon la plainte. « Les pratiques de chiffrement déficientes de Blackbaud ont amplifié la gravité de la violation de données », a déclaré la FTC.
Le régulateur a également accusé Blackbaud de conserver les données des consommateurs pendant des années au-delà du moment où elles étaient nécessaires, y compris pour « les clients qui étaient passés à des produits non concernés par la violation, et même des clients potentiels ».
« Les mauvaises pratiques de sécurité et de conservation des données de Blackbaud ont permis à un pirate informatique d’obtenir des données personnelles sensibles sur des millions de consommateurs », a déclaré Samuel Levine, directeur du Bureau de protection des consommateurs de la FTC. « Les entreprises ont la responsabilité de sécuriser les données qu’elles conservent et de supprimer celles dont elles n’ont plus besoin. »
Dans une déclaration commune, la présidente de la FTC, Lina Khan, et ses collègues commissaires nommés par les démocrates, Rebecca Kelly Slaughter et Alvaro M. Bedoya, ont accusé l’entreprise de « pratiques imprudentes en matière de conservation des données » en conservant des données dont l’entreprise n’avait pas besoin, ont-ils déclaré.
Blackbaud, qui n’a pas répondu aux questions de TechCrunch, a accepté de supprimer les données superflues et de réformer ses pratiques de cybersécurité.