En mayo de 2020 la firma de software Blackbaud, que provee de software de gestión de datos a ONGs, sufrió un ataque de ransomware que le llevó a exponer los datos confidenciales de 13.000 clientes comerciales, lo que supuso a su vez comprometer información personal de millones de usuarios.
La violación se dio a conocer por parte de la empresa en julio de dicho año. Entonces Blackbaud perjuró que el actor de amenazas no había accedido a datos personales de los consumidores.
Sin embargo, la empresa se dio cuenta poco después de que no era así e hizo una 'huida hacia adelante'. En lugar de revelar que el cibermalo sí había obtenido detalles como la Seguridad Social, los números de cuentas bancarias o la información médica, siguió tergiversando lo ocurrido durante casi dos meses.
Así lo recoge una denuncia presentada por el fiscal general de California, Rob Bonta: "A principios de agosto de 2020, Blackbaud sabía que la información de las cuentas bancarias de los consumidores y los números de Seguro Social habían sido exfiltrados por el actor de amenazas", dice la denuncia.
"Sin embargo, Blackbaud continuó haciendo declaraciones de que el actor de amenazas no accedió a la información de cuentas bancarias ni a los números de Seguro Social", añade.
La oficina añade que la firma de software no solo no ofreció información oportuna y precisa a los afectados por la infracción, sino que también se habría "burlado" de las leyes de privacidad y protección al consumidor.
La denuncia también comprende que Blackbaud no usó controles de contraseñas que "evitan claves predeterminadas idénticas" ni requirió de autenticación multifactor.
Además, en el escrito se indica que el infractor logró entrar en la red de Blackbaud usando un único nombre de usuario y contraseña comprometidos. El hacker pudo escalar su acceso al de administrador porque la compañía no había segmentado adecuadamente las redes.
Para más inri, no buscó adecuadamente amenazas e intrusiones y permitió al pirata que permaneciera en su sistema sin ser detectado durante más de tres meses.
Una cuantiosa sanción
Ahora, fruto de esta filtración la compañía tendrá que aflojarse el bolsillo y pagar 6,75 millones de dólares de multa, según un acuerdo alcanzado con las autoridades. Además, se verá obligada a mejorar la seguridad de sus datos y sus prácticas de notificación de infracciones.
Desafortunadamente, no es la primera vez que esta empresa de software es multada por este incidente. En octubre del año pasado acordaron junto con otros fiscales generales estatales apoquinar 49,5 millones de dólares, adicionales a otros 3 millones de dólares fijados en marzo.
En mayo de este año la Comisión de Comercio de EE.UU. (FTC) ha alcanzado otro acuerdo con BlackBaud por el que tendrá que crear un "programa integral de seguridad de la información", y establecer un cronograma que muestre la frecuencia con la que elimina datos y alerte a la FTC sobre futuras violaciones de datos.