La société de logiciels cloud Blackbaud a accepté de payer un règlement de 3 millions d'euros pour des divulgations trompeuses concernant une attaque de ransomware qui s'est produite il y a près de trois ans en mai 2020.
L'entreprise publique, qui fournit un logiciel de gestion des données des donateurs aux organisations à but non lucratif et aux établissements d'enseignement, n'avait pas divulgué jusqu'à présent (ouvre dans un nouvel onglet) une attaque de ransomware dont elle était au courant à l'époque.
Cette attaque aurait touché plus de 13,000 XNUMX clients, mettant en danger des informations personnellement identifiables telles que des noms, des adresses, des adresses e-mail et des numéros de téléphone.
Attaque de rançongiciel Blackbaud en 2020
La Securities and Exchange Commission (SEC) des États-Unis a expliqué (s'ouvre dans un nouvel onglet) qu'« en août 2020, la société a déposé un rapport trimestriel auprès de la SEC qui omettait ces informations importantes sur l'ampleur de l'attaque et caractérisait de manière trompeuse le risque de un attaquant obtenant des informations confidentielles sur un donateur est hypothétique.
Le chef de l'unité Crypto and Cyber Assets de la SEC Enforcement Division, David Hirsch, a noté que Blackbaud n'avait pas informé avec précision et en temps opportun les investisseurs de l'attaque par ransomware, une obligation qu'elle a en tant qu'entreprise publique.
Cependant, il a donné suite à sa menace et a payé la demande du cybercriminel « en confirmant que la copie qu'il avait supprimée avait été détruite », citant les données des clients comme une priorité clé dans sa décision.
En raison de leur incapacité à communiquer et des événements qui ont suivi, divers articles et règles de la loi sur les valeurs mobilières de 1933 et de la loi sur les bourses de 1934 ont été violés, entraînant une amende civile de 3 millions d'euros et une arrestation et une arrestation. ces infractions.
La société n'a pas encore commenté publiquement l'accord, et n'a pas non plus rassuré les clients dont les préoccupations ont été soulevées après que l'attaque du ransomware est entrée dans les discussions publiques.