La empresa de tecnología educativa Blackbaud acordó llegar a un acuerdo con la Comisión Federal de Comercio de EE. UU. sobre las prácticas de seguridad de la empresa que resultaron en una violación de datos en 2020.
La FTC alega que Blackbaud, una empresa con sede en EE. UU. que proporciona software financiero y administrativo a universidades, organizaciones sin fines de lucro, organizaciones de atención médica y organizaciones de extrema derecha, tenía protocolos de seguridad «laxos» que permitieron a los atacantes violar la red de la empresa y acceder a los datos personales de millones de consumidores.
En este incidente de febrero de 2020, piratas informáticos malintencionados utilizaron las credenciales de un cliente para obtener acceso a la red de Blackbaud, donde los piratas informáticos permanecieron sin ser detectados durante más de tres meses y exfiltraron cantidades masivas de datos confidenciales no cifrados de los consumidores, incluidos números de cuentas bancarias y de seguridad social.
Blackbaud, con sede en Carolina del Sur, dijo a los clientes afectados en ese momento que sólo se habían robado nombres, direcciones, direcciones de correo electrónico y números de teléfono, afirmando que «el ciberdelincuente no accedió a información de tarjetas de crédito, información de cuentas bancarias ni números de Seguro Social».
Blackbaud, que según la FTC sabía ya en julio de 2020 que los números de la Seguridad Social y los datos financieros habían sido robados, no reveló el alcance total de la violación hasta más tarde ese octubre, ni verificó que los datos robados se hubieran eliminado después acordando pagar el rescate de los atacantes de aproximadamente 250.000 dólares, dijo la FTC.
Según la denuncia de la FTC, Blackbaud no implementó medidas de ciberseguridad adecuadas para evitar que se produjera una violación de datos. El regulador también alega que la compañía no monitoreó los intentos de los piratas informáticos de violar sus redes, segmentar datos, implementar adecuadamente la autenticación multifactor o probar, revisar y evaluar sus controles de seguridad corporativos. La empresa también permitió a los empleados utilizar contraseñas predeterminadas, débiles o idénticas, alega la denuncia, y no parcheó el software y los sistemas obsoletos de manera oportuna, lo que dejó las redes de los clientes en riesgo de sufrir ataques cibernéticos.
Blackbaud también permitió a los clientes almacenar números de Seguro Social e información de cuentas bancarias en campos no cifrados no designados específicamente para esos fines, según la denuncia. «Las prácticas de cifrado deficientes de Blackbaud magnificaron la gravedad de la violación de datos», dijo la FTC.
El regulador también acusó a Blackbaud de retener datos de los consumidores durante años más allá del momento en que eran necesarios, incluso para «clientes que habían cambiado a productos no afectados por la violación, e incluso clientes potenciales».
«Las malas prácticas de seguridad y retención de datos de Blackbaud permitieron a un pirata informático obtener datos personales confidenciales sobre millones de consumidores», dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. «Las empresas tienen la responsabilidad de proteger los datos que mantienen y eliminar los datos que ya no necesitan».
En una declaración conjunta, la presidenta de la FTC, Lina Khan, y los comisionados designados por los demócratas, Rebecca Kelly Slaughter y Alvaro M. Bedoya, acusaron a la empresa de “prácticas imprudentes de retención de datos” al retener datos que la empresa no necesitaba, dijeron.
Blackbaud, que no respondió a las preguntas de TechCrunch, acordó eliminar datos superfluos y reformar sus prácticas de ciberseguridad.