أمرت لجنة التجارة الفيدرالية Blackbaud بإصلاح الممارسات الأمنية “المتهورة” في أعقاب انتهاك عام 2020

وافقت شركة تكنولوجيا التعليم Blackbaud على التسوية مع لجنة التجارة الفيدرالية الأمريكية بشأن الممارسات الأمنية للشركة التي أدت إلى خرق البيانات في عام 2020.

تزعم لجنة التجارة الفيدرالية أن Blackbaud، وهي شركة مقرها الولايات المتحدة توفر البرامج المالية والإدارية للكليات والمنظمات غير الربحية ومنظمات الرعاية الصحية والمنظمات اليمينية المتطرفة، لديها بروتوكولات أمنية “متساهلة” تسمح للمهاجمين باختراق شبكة الشركة والوصول إلى البيانات الشخصية. ملايين المستهلكين.

شهدت حادثة فبراير 2020 استخدام قراصنة ضارين لبيانات اعتماد العميل للوصول إلى شبكة Blackbaud، حيث ظل المتسللون غير مكتشفين لأكثر من ثلاثة أشهر وقاموا بتسريب كميات هائلة من بيانات المستهلك الحساسة غير المشفرة، بما في ذلك أرقام الضمان الاجتماعي والحسابات المصرفية.

وأخبرت شركة Blackbaud ومقرها ساوث كارولينا العملاء المتأثرين في ذلك الوقت أنه تمت سرقة الأسماء والعناوين وعناوين البريد الإلكتروني وأرقام الهواتف فقط، مؤكدة أن “المجرم الإلكتروني لم يصل إلى معلومات بطاقة الائتمان أو معلومات الحساب المصرفي أو أرقام الضمان الاجتماعي”.

Blackbaud، التي تدعي لجنة التجارة الفيدرالية أن Blackbaud كانت تعرف في وقت مبكر من يوليو 2020 أن أرقام الضمان الاجتماعي والبيانات المالية قد سُرقت، لم تكشف عن المدى الكامل للانتهاك حتى وقت لاحق من شهر أكتوبر، ولم تتحقق من حذف البيانات المسروقة. وقالت لجنة التجارة الفيدرالية بعد موافقتها على دفع فدية المهاجمين البالغة نحو 250 ألف دولار.

وفقًا لشكوى لجنة التجارة الفيدرالية، فشلت Blackbaud في تنفيذ تدابير الأمن السيبراني المناسبة لمنع حدوث خرق للبيانات. وتزعم الهيئة التنظيمية أيضًا أن الشركة لم تراقب محاولات المتسللين لاختراق شبكاتها، أو تقسيم البيانات، أو تنفيذ المصادقة متعددة العوامل بشكل مناسب، أو اختبار ومراجعة وتقييم ضوابط أمان الشركة. كما سمحت الشركة للموظفين باستخدام كلمات مرور افتراضية أو ضعيفة أو متطابقة، كما تزعم الشكوى، وفشلت في تصحيح البرامج والأنظمة القديمة في الوقت المناسب، مما ترك شبكات العملاء عرضة لخطر الهجمات الإلكترونية.

كما سمحت Blackbaud للعملاء بتخزين أرقام الضمان الاجتماعي ومعلومات الحساب المصرفي في حقول غير مشفرة غير مخصصة لهذه الأغراض، وفقًا للشكوى. وقالت لجنة التجارة الفيدرالية: “إن ممارسات التشفير الضعيفة لدى Blackbaud أدت إلى تفاقم خطورة اختراق البيانات”.

كما اتهمت الهيئة التنظيمية Blackbaud بالاحتفاظ ببيانات المستهلك لسنوات بعد الحاجة إليها، بما في ذلك “العملاء الذين تحولوا إلى المنتجات التي لم تتأثر بالانتهاك، وحتى العملاء المحتملين”.

قال صامويل ليفين، مدير مكتب حماية المستهلك التابع للجنة التجارة الفيدرالية: “إن ممارسات Blackbaud الأمنية الرديئة وممارسات الاحتفاظ بالبيانات سمحت للمتسلل بالحصول على بيانات شخصية حساسة حول ملايين المستهلكين”. “تتحمل الشركات مسؤولية تأمين البيانات التي تحتفظ بها وحذف البيانات التي لم تعد بحاجة إليها.”

وفي بيان مشترك، اتهمت رئيسة لجنة التجارة الفيدرالية لينا كان وزملاؤها المفوضون المعينون من قبل الديمقراطيين ريبيكا كيلي سلوتر ألفارو إم بيدويا الشركة “بممارسات متهورة للاحتفاظ بالبيانات” من خلال الاحتفاظ ببيانات لم تكن الشركة بحاجة إليها، على حد قولهم.

وافقت شركة Blackbaud، التي لم ترد على أسئلة TechCrunch، على حذف البيانات الدخيلة وإصلاح ممارسات الأمن السيبراني الخاصة بها.