par 
La société de logiciels Blackbaud a accepté de payer 3 millions de dollars pour régler les frais liés à une attaque de ransomware de mai 2020 qui a exposé les données des comptes bancaires des clients, a déclaré jeudi la US Security and Exchange Commission.
La SEC a accusé Blackbaud, dont le logiciel cloud est utilisé par des collèges, des universités, des organisations à but non lucratif et des organisations d’extrême droite, d’avoir fait des “divulgations trompeuses” sur la cyberattaque qui a touché plus de 13 000 clients Blackbaud.
Bien que Blackbaud ait découvert l’attaque par ransomware en mai 2020, la société n’a divulgué l’incident qu’en juillet suivant. À l’époque, la société basée en Caroline du Sud a déclaré aux clients concernés que seuls les noms, adresses, adresses e-mail et numéros de téléphone avaient été volés, affirmant que “le cybercriminel n’avait pas accès aux informations de carte de crédit, aux informations de compte bancaire ou aux numéros de sécurité sociale”.
Mais la SEC allègue que le personnel de la technologie et des relations avec la clientèle de Blackbaud a appris que l’attaquant avait en fait accédé et exfiltré ces informations sensibles “en quelques jours”, mais n’en a pas informé les cadres supérieurs responsables de la divulgation publique parce que l’entreprise n’a pas maintenu les contrôles et procédures de divulgation. Blackbaud n’a pas admis que les attaquants avaient accédé aux données des comptes bancaires et aux numéros de sécurité sociale des clients jusqu’en septembre dans un dossier auprès de la SEC.
“Comme l’indique l’ordonnance, Blackbaud n’a pas divulgué le plein impact d’une attaque de ransomware bien que son personnel ait appris que ses déclarations publiques antérieures sur l’attaque étaient erronées”, a déclaré David Hirsch, chef de la division des actifs cryptographiques et de l’unité cybernétique de la SEC. « Les entreprises publiques ont l’obligation de fournir à leurs investisseurs des informations importantes exactes et opportunes ; Blackbaud n’a pas réussi à le faire.
L’attaque du rançongiciel Blackbaud a touché des milliers d’écoles, d’universités et d’autres organisations à but non lucratif, notamment l’Université Des Moines, Human Rights Watch et le parti travailliste britannique. Blackbaud a admis avoir payé une rançon aux pirates – une décision découragée par la plupart des forces de l’ordre – et a affirmé avoir reçu la “confirmation” que les attaquants avaient détruit les données personnelles volées.
La SEC a déclaré jeudi que, sans admettre ni nier les conclusions de la SEC, Blackbaud a accepté de cesser et de s’abstenir de commettre des violations de ces dispositions et de payer une amende civile de 3 millions de dollars.
Blackbaud n’a pas répondu à nos questions.
