Blackbaud, fornitore di cloud computing al servizio della comunità e di organizzazioni di vario genere come no profit, sanità, religione o istruzione,

Dopo l’attacco, denunciato in luglio, la società aveva rilasciato false dichiarazioni, come per esempio il fatto che non fossero stati violati i dati personali dei consumatori. Tuttavia, i numeri di previdenza sociale, conti bancari e informazioni mediche sono state diffuse per altri due mesi prima che il fatto venisse scoperto.

“La società non ha fornito informazioni accurate e tempestive sulle vittime del furto di dati. Fin dagli inizi dell’Agosto 2020, Blackbaud sapeva che le informazioni degli account bancari e i numeri di previdenza sociale dei propri clienti erano stati esfiltrati. Ciononostante, continuavano a comportarsi come se i criminali informatici non avessero avuto accesso a queste informazioni.

Inoltre, prima del furto di dati, Blackbaud tranquillizzava i clienti dicendo loro di utilizzare pratiche conformi agli standard industriali, di praticare continui aggiornamenti del rischio, di testare i propri prodotti anche con sistemi aggressivi e di effettuare molto spesso le proprie infrastrutture“, si legge in una nota firmata da Rob Bonta, Procuratore Generale della California.

Dalle indagini è poi emerso invece che l’azienda non effettuava controlli sulle password, non metteva i clienti in guardia dall’utilizzare password deboli, semplici o tutte uguali e non ne consigliava un cambio frequente. Inoltre, i software di Blackbaud non erano sufficientemente segmentati e ciò ha permesso agli hacker di muoversi liberamente all’interno della rete.

A causa, poi, della mancanza di crittografia adeguata, i cybercriminali sono riusciti a sottrarre i dati di più di 13mila organizzazioni e di un numero imprecisato – ma spaventosamente alto – di persone.

Le sanzioni

Per contrastare questo fenomeno, la Federal Trade Commission ha imposto a Blackbaud di cancellare i dati di cui non ha più bisogno per fornire i propri prodotti e i propri servizi, di smettere di mentire riguardo alle proprie politiche di sicurezza e di protezione dei dati, e di creare un’informativa comprensibile sui propri programmi di sicurezza, come la schedulazione della cancellazione dei dati.

Leggi anche: Una falla di Windows potrebbe aver aperto le porte agli hacker russi

Lo Stato della California, inoltre, ha richiesto che la società informatica imposti degli standard per il cambio delle password, che venga effettuata una segmentazione della rete e che siano implementati dei sistemi di rilevamento delle intrusioni.

Inoltre, Blackbauer dovrà pagare un’ammenda per 6,75 milioni di dollari.

Cybsec-news.it vi invita alla prossima edizione della CYBSEC-EXPO, in programma a Piacenza nel 2025.