La société de logiciels cloud Blackbaud a accepté de payer un règlement de 3 millions de dollars pour des divulgations trompeuses concernant une attaque de ransomware qui s’est produite il y a près de trois ans, en mai 2020.
L’entreprise publique, qui fournit un logiciel de gestion des données des donateurs aux organisations à but non lucratif et aux établissements d’enseignement, avait échoué, jusqu’à présent (s’ouvre dans un nouvel onglet)pour divulguer une attaque de rançongiciel dont il avait connaissance à l’époque.
Cette attaque aurait touché plus de 13 000 clients, mettant en danger des informations personnellement identifiables telles que des noms, des adresses, des adresses e-mail et des numéros de téléphone.
Attaque de ransomware de Blackbaud en 2020
La Securities and Exchange Commission (SEC) des États-Unis a expliqué (s’ouvre dans un nouvel onglet) ce « […] en août 2020, la société a déposé un rapport trimestriel auprès de la SEC qui omettait ces informations importantes sur la portée de l’attaque et caractérisait de manière trompeuse le risque qu’un attaquant obtienne des informations aussi sensibles sur les donateurs comme hypothétique.
Le chef de la division Crypto Assets and Cyber Unit de la SEC Enforcement Division, David Hirsch, a noté que Blackbaud n’avait pas informé les investisseurs de manière précise et opportune de l’attaque par ransomware – une obligation qu’elle a en tant qu’entreprise publique.
Cependant, il s’est conformé à la menace et a payé la demande du cybercriminel « avec la confirmation que la copie qu’ils avaient supprimée avait été détruite », citant les données des clients comme une priorité clé dans sa décision.
En raison de sa mauvaise communication et des événements qui ont suivi, diverses sections et règles du Securities Act de 1933 et du Securities Exchange Act de 1934 ont été violées, entraînant une amende civile de 3 millions de dollars et l’arrêt et l’abstention de Blackbaud de commettre ces violations.
La société n’a pas encore fait de commentaire public sur le règlement, et n’a pas non plus rassuré les clients dont les doutes ont été soulevés à la suite de l’attaque du ransomware entrant dans les discussions publiques.