La casa de software Blackbaud acordó pagar $ 3 millones para resolver los cargos relacionados con un ataque de ransomware de mayo de 2020 que expuso los datos de las cuentas bancarias de los clientes, dijo el jueves la Comisión de Bolsa y Valores de EE. UU.
La SEC acusó a Blackbaud, cuyo software en la nube es utilizado por colegios, universidades, organizaciones sin fines de lucro y de extrema derecha, por hacer «divulgaciones engañosas» sobre el ataque cibernético que afectó a más de 13,000 clientes de Blackbaud.
Aunque Blackbaud descubrió el ataque de ransomware en mayo de 2020, la empresa no reveló el incidente hasta julio siguiente. En ese momento, la empresa con sede en Carolina del Sur les dijo a los clientes afectados que solo se habían robado nombres, direcciones, direcciones de correo electrónico y números de teléfono, afirmando que “el ciberdelincuente no accedió a la información de la tarjeta de crédito, la información de la cuenta bancaria o los números de Seguro Social”.
Pero la SEC alega que el personal de tecnología y relaciones con los clientes de Blackbaud se enteró de que el atacante había accedido y exfiltrado esta información confidencial «en cuestión de días», pero no se lo dijo a los altos directivos responsables de la divulgación pública porque la empresa no mantuvo los controles y procedimientos de divulgación. Blackbaud no admitió que los atacantes hubieran accedido a los datos de cuentas bancarias y números de Seguro Social de los clientes hasta septiembre en una presentación ante la SEC.
“Como determina la orden, Blackbaud no reveló el impacto total de un ataque de ransomware a pesar de que su personal se enteró de que sus declaraciones públicas anteriores sobre el ataque eran erróneas”, dijo David Hirsch, jefe de la unidad de activos criptográficos y cibernéticos de la división de aplicación de la SEC. “Las empresas públicas tienen la obligación de proporcionar a sus inversionistas información material veraz y oportuna; Blackbaud no lo hizo”.
El ataque del ransomware Blackbaud afectó a miles de escuelas, universidades y otras organizaciones sin fines de lucro, incluidas la Universidad de Des Moines, Human Rights Watch y el Partido Laborista del Reino Unido. Blackbaud admitió que pagó un rescate a los piratas informáticos, una medida desalentada por la mayoría de las fuerzas del orden, y afirmó haber recibido una «confirmación» de que los atacantes habían destruido los datos personales robados.
La SEC dijo el jueves que, sin admitir ni negar los hallazgos de la SEC, Blackbaud acordó cesar y desistir de cometer violaciones de estas disposiciones y pagar una multa civil de $3 millones.
Blackbaud no respondió a nuestras preguntas.