image

Blackbaud schikt misleidende melding over ransomware voor drie miljoen dollar

zaterdag 11 maart 2023, 08:47 door Redactie, 2 reacties

Cloudsoftwarebedrijf Blackbaud, dat in 2020 door een ransomware-aanval werd getroffen dat onder andere voor een datalek bij de TU Delft en Universiteit Utrecht zorgde, heeft een misleidende melding over het incident voor een bedrag van drie miljoen dollar geschikt. Dat heeft de Amerikaanse beurswaakhond SEC laten weten.

Blackbaud is een cloudsoftwarebedrijf dat allerlei diensten aan non-profitorganisaties en onderwijsinstellingen levert, waaronder CRM-systemen (customer relationship management). Bij de ransomware-aanval wist de aanvaller gegevens van dertienduizend klanten te stelen. Blackbaud betaalde de aanvaller om de gegevens te vernietigen en stelde dat er geen bankgegevens of socialsecurity-nummers waren buitgemaakt.

Het personeel ontdekte dat de aanvaller deze gevoelige informatie wel had gestolen. De medewerkers lieten dit door het ontbreken van meldprocedures niet aan het management weten dat voor de datalekmelding verantwoordelijk was. Toen het bedrijf in augustus 2020 de ransomware-aanval bij de SEC meldde ontbrak deze informatie dan ook. Hierdoor heeft Blackbaud investeerders niet tijdig en juist geïnformeerd. Het bedrijf heeft hiermee de Amerikaanse Securities Act overtreden. De SEC en Blackbaud zijn nu voor deze overtreding een schikking van drie miljoen dollar overeengekomen.

Bij de TU Delft en Universiteit Utrecht werden door de aanval op Blackbaud de privégegevens van zo'n 250.000 alumni, donateurs en relaties van de universiteiten gestolen. Van zesduizend afgestudeerden van de Universiteit Utrecht ging het ook om burgerservicenummers. Het incident leidde nog tot vragen in de Tweede Kamer.

Reacties (2)
11-03-2023, 15:35 door Anoniem
Bewijs temeer dat ook in IT-land de leugen steeds vaker komt te regeren.

De Cloud verbergt soms meer dan ie 'openbaart'.

Hoe komen we uit de huidige dystopie op de infrastructuur?

Of gaat er komen waar WEF reeds langer voor waarschuwt - een enorme grote outing van het net?

Als oud-F.R.A.V.I.A. (R.I.P.) -adept vraag ik het me wel eens af: "Hoe kon het middels graailust zo ver komen?".

Zijn de digi-cyber-Shayatin al overal de baas? Na de kleine tekenen op de klok, komen dadelijk de grote wel.

Shakespeare zou hebben gezegd: "De hel is leeg, ze zijn al allemaal hier'.

#webproxy
11-03-2023, 17:44 door Anoniem
Door Anoniem: Bewijs temeer dat ook in IT-land de leugen steeds vaker komt te regeren.
Welke leugen? Dit staat er:
De medewerkers lieten dit door het ontbreken van meldprocedures niet aan het management weten dat voor de datalekmelding verantwoordelijk was. Toen het bedrijf in augustus 2020 de ransomware-aanval bij de SEC meldde ontbrak deze informatie dan ook.
Het management waar het hier om gaat is het management dat voor de datalekmelding verantwoordelijk was. Dat hoeft helemaal niet het directe management van de betrokken medewerkers te zijn, het kan management van een heel ander deel van de organisatie zijn. Wie weet waren de medewerkers IT'ers terwijl de datalekmelding door het management van de juridische afdeling werd afgehandeld.

Er staat niet dat die medewerkers de informatie voor zich hielden of wie dan ook misleid hebben, er staat dat in die organisatie niet geregeld was dat de informatie aan de juiste partij werd doorgegeven. Dat kan misgaan terwijl iedereen open en eerlijk is en helemaal niets voor zich houdt. Degenen die verantwoordelijk waren voor de datalekmelding logen op hun beurt niet door iets niet op te nemen waar ze geen weet van hadden.

Niet elke onwaarheid is namelijk een leugen; een leugen is een bewuste onwaarheid. Daar lijkt hier geen sprake van te zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.