Eğitim teknolojisi şirketi Blackbaud, şirketin 2020’de veri ihlaliyle sonuçlanan güvenlik uygulamaları konusunda ABD Federal Ticaret Komisyonu ile uzlaşmayı kabul etti.
FTC, Blackbaud’unÜniversitelere, kar amacı gütmeyen kuruluşlara, sağlık kuruluşlarına ve aşırı sağcı kuruluşlara finansal ve idari yazılım sağlayan ABD merkezli bir şirket, saldırganların şirketin ağını ihlal etmesine ve milyonlarca tüketicinin kişisel verilerine erişmesine olanak tanıyan “gevşek” güvenlik protokollerine sahipti.
Şubat 2020’deki bu olayda, kötü niyetli bilgisayar korsanlarının Blackbaud ağına erişim sağlamak için bir müşterinin kimlik bilgilerini kullandığı görüldü; burada bilgisayar korsanları üç aydan fazla bir süre boyunca fark edilmeden kaldı ve Sosyal Güvenlik ve banka hesap numaraları da dahil olmak üzere çok büyük miktarda şifrelenmemiş hassas tüketici verisini sızdırdı.
Güney Carolina merkezli Blackbaud, etkilenen müşterilere o sırada yalnızca isimlerin, adreslerin, e-posta adreslerinin ve telefon numaralarının çalındığını söyledi ve “siber suçlunun kredi kartı bilgilerine, banka hesap bilgilerine veya Sosyal Güvenlik numaralarına erişmediğini” ileri sürdü.
FTC, Blackbaud’un Temmuz 2020 gibi erken bir tarihte Sosyal Güvenlik numaralarının ve mali verilerin çalındığını bildiğini iddia ettiği Blackbaud, Ekim ayı sonuna kadar ihlalin tamamını açıklamadı ve çalınan verilerin silindiğini doğrulamadı. FTC, saldırganlara yaklaşık 250.000 dolar tutarındaki fidyeyi ödemeyi kabul ettikten sonra söyledi.
Göre FTC’nin şikayetiBlackbaud, veri ihlalinin gerçekleşmesini önlemek için uygun siber güvenlik önlemlerini uygulama konusunda başarısız oldu. Düzenleyici ayrıca şirketin bilgisayar korsanlarının ağlarını ihlal etme, verileri bölümlere ayırma, çok faktörlü kimlik doğrulamayı yeterince uygulama veya kurumsal güvenlik kontrollerini test etme, inceleme ve değerlendirme girişimlerini izlemediğini iddia ediyor. Şikayete göre şirket ayrıca çalışanların varsayılan, zayıf veya aynı şifreleri kullanmasına izin verdi ve güncelliğini kaybetmiş yazılım ve sistemlere zamanında yama uygulayamadı, bu da müşteri ağlarını siber saldırı riskiyle karşı karşıya bıraktı.
Şikayete göre Blackbaud ayrıca müşterilerin Sosyal Güvenlik numaralarını ve banka hesap bilgilerini bu amaçlar için özel olarak belirlenmemiş şifrelenmemiş alanlarda saklamasına da izin verdi. FTC, “Blackbaud’un yetersiz şifreleme uygulamaları veri ihlalinin ciddiyetini artırdı” dedi.
Düzenleyici ayrıca Blackbaud’u, “ihlalden etkilenmeyen ürünlere geçiş yapan müşteriler ve hatta potansiyel müşteriler” de dahil olmak üzere tüketici verilerini ihtiyaç duyulan sürenin ötesinde yıllarca saklamakla suçladı.
FTC Tüketiciyi Koruma Bürosu Direktörü Samuel Levine, “Blackbaud’un kalitesiz güvenlik ve veri saklama uygulamaları, bir bilgisayar korsanının milyonlarca tüketicinin hassas kişisel verilerini ele geçirmesine olanak tanıdı” dedi. “Şirketlerin sakladıkları verileri güvence altına alma ve artık ihtiyaç duymadıkları verileri silme sorumluluğu var.”
FTC başkanı Lina Kahn ve Demokratlar tarafından atanan komisyon üyeleri Rebecca Kelly Slaughter Alvaro M. Bedoya, yaptıkları ortak açıklamada, şirketin ihtiyaç duymadığı verileri saklayarak şirketi “dikkatsiz veri saklama uygulamalarıyla” suçladılar.
TechCrunch’ın sorularına yanıt vermeyen Blackbaud, gereksiz verileri silmeyi ve siber güvenlik uygulamalarında reform yapmayı kabul etti.