La empresa de tecnología educativa Blackbaud acordó llegar a un acuerdo con la Comisión Federal de Comercio de EE. UU. sobre las prácticas de seguridad de la empresa que resultaron en una violación de datos en 2020.
La FTC alega que Blackbaud, una empresa con sede en EE. UU. que proporciona software financiero y administrativo a universidades, organizaciones sin fines de lucro, organizaciones de atención médica y organizaciones de extrema derecha, tenía protocolos de seguridad «descuidados» que permitieron a los atacantes violar la red de la empresa y acceder a los datos personales de millones de consumidores.
Este incidente de febrero de 2020 vio a hackers maliciosos usar credenciales de un cliente para acceder a la red de Blackbaud, donde los hackers permanecieron sin ser detectados durante más de tres meses y extrajeron cantidades masivas de datos sensibles de consumidores sin cifrar, incluidos números de Seguro Social y cuentas bancarias.
Blackbaud, con sede en Carolina del Sur, informó a los clientes afectados en ese momento que solo se habían robado nombres, direcciones, direcciones de correo electrónico y números de teléfono, afirmando que «el cibercriminal no accedió a la información de la tarjeta de crédito, la información de la cuenta bancaria o los números de Seguro Social».
La FTC, que afirma que Blackbaud supo tan temprano como julio de 2020 que se habían robado números de Seguro Social y datos financieros, no reveló la magnitud total de la violación hasta octubre de ese año, ni verificó que los datos robados hubieran sido eliminados después de acordar pagar el rescate de los atacantes de alrededor de $250,000, dijo la FTC.
Según la denuncia de la FTC, Blackbaud no implementó las medidas de ciberseguridad adecuadas para prevenir una violación de datos. El regulador también alega que la empresa no monitoreó los intentos de los hackers de violar sus redes, segmentar datos, implementar adecuadamente la autenticación multifactor o probar, revisar y evaluar sus controles de seguridad corporativos. La empresa también permitió a los empleados usar contraseñas predeterminadas, débiles o idénticas, alega la denuncia, y no parcheó el software y los sistemas obsoletos de manera oportuna, dejando las redes de los clientes en riesgo de ciberataques.
Blackbaud también permitió a los clientes almacenar números de Seguro Social e información de la cuenta bancaria en campos no cifrados no específicamente designados para esos propósitos, según la denuncia. «Las prácticas deficientes de cifrado de Blackbaud magnificaron la gravedad de la violación de datos», dijo la FTC.
El regulador también acusó a Blackbaud de retener datos de consumidores durante años más allá de lo necesario, incluidos «clientes que habían cambiado a productos no afectados por la violación, e incluso clientes potenciales».
«Las prácticas deficientes de seguridad y retención de datos de Blackbaud permitieron a un pirata informático obtener datos personales sensibles sobre millones de consumidores», dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. «Las empresas tienen la responsabilidad de asegurar los datos que mantienen y eliminar los datos que ya no necesitan».
En una declaración conjunta, la presidenta de la FTC, Lina Khan, y los comisionados designados por los demócratas Rebecca Kelly Slaughter y Alvaro M. Bedoya acusaron a la empresa de «prácticas imprudentes de retención de datos» al retener datos que la empresa no necesitaba, dijeron.
Blackbaud, que no respondió a las preguntas de TechCrunch, ha acordado eliminar datos superfluos y reformar sus prácticas de ciberseguridad.
