Bulut yazılım şirketi Blackbaud, yaklaşık üç yıl önce, Mayıs 2020’de meydana gelen bir fidye yazılımı saldırısıyla ilgili yanıltıcı ifşaatlar için 3 milyon dolarlık bir uzlaşma ödemeyi kabul etti.
Kâr amacı gütmeyen kuruluşlara ve eğitim kurumlarına donör veri yönetimi yazılımı sağlayan halka açık şirket başarısız olmuştu, şimdiye kadar (yeni sekmede açılır) o sırada farkında olduğu bir fidye yazılımı saldırısını ifşa etmek için.
Söz konusu saldırının 13.000’den fazla müşteriyi etkileyerek isimler, adresler, e-posta adresleri ve telefon numaraları gibi kişisel olarak tanımlanabilir bilgileri riske attığına inanılıyordu.
Blackbaud’un 2020 fidye yazılımı saldırısı
ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) açıkladı (yeni sekmede açılır) O “[…] Ağustos 2020’de şirket, SEC’e saldırının kapsamıyla ilgili bu maddi bilgileri içermeyen ve bir saldırganın bu tür hassas bağış bilgilerini elde etme riskini yanıltıcı bir şekilde varsayımsal olarak nitelendiren üç aylık bir rapor sundu.
SEC İcra Bölümü’nün Kripto Varlıkları ve Siber Birimi başkanı David Hirsch, Blackbaud’un yatırımcıları fidye yazılımı saldırısı hakkında doğru ve zamanında bilgilendirmediğini ve bunun halka açık bir şirket olarak sahip olduğu bir yükümlülük olduğunu belirtti.
Ancak tehdide boyun eğdi ve siber suçlunun talebini, kararında kilit bir öncelik olarak müşteri verilerini gerekçe göstererek “çıkardıkları kopyanın imha edildiğinin teyidi ile” ödedi.
Zayıf iletişimi ve müteakip olaylar nedeniyle, 1933 Menkul Kıymetler Yasası ve 1934 Menkul Kıymetler Borsası Yasası’nın çeşitli bölümleri ve kurallarının ihlal edildiği tespit edildi, bu da 3 milyon dolarlık bir para cezasına çarptırıldı ve Blackbaud bu ihlalleri yapmaktan vazgeçti.
Şirket anlaşma hakkında henüz kamuoyuna açıklama yapmadı ve kamuya açık tartışmalara giren fidye yazılımı saldırısının ardından şüpheleri ortaya çıkan müşterilere herhangi bir güvence vermedi.