Как Blackbaud упустил конфиденциальную информацию клиентов

В сегодняшнем обзоре материал под рубрикой «По следам нашумевшей утечки»: вспоминаем дерзкую атаку на ИТ-компанию Blackbaud, в результате которой хакеры смогли завладеть конфиденциальной информацией сотен компаний и 10 млн человек.

О компании

Blackbaud – компания-разработчик программного обеспечения, основанная в 1981 г. Штаб-квартира компании находится в штате Южная Каролина. Blackbaud концентрируется на поддержке некоммерческих организаций, предоставляя им ПО Raiser’s Edge для сбора пожертвований, а также CRM-систему и различные маркетинговые инструменты, в том числе в облаке.

Что произошло?

В мае 2020 г. служба кибербезопасности Blackbaud обнаружила подозрительную активность в своей сети. Выяснилось, что хакеры взломали ресурсы компании еще в феврале того же года. Объединив усилия с экспертами-криминалистами и правоохранительными органами, команда Blackboud смогла отразить атаку и не позволила злоумышленникам зашифровать персональные данные и другую конфиденциальную информацию. Однако, хакеры успели скопировать персональные данные клиентов Blackbaud и потребовали выкуп за удаление этих сведений. Компания согласилась на условия вымогателей (о сумме выкупа неизвестно), после чего получила от хакеров гарантии того, что все украденные файлы были стерты.

Последствия утечки

Только в июле 2020 г. Blackbaud вышла на связь с клиентами и уведомила их об инциденте информационной безопасности. Такое промедление вызвало волну критики со стороны пострадавших компаний.

Вначале представители Blackbaud утверждали, что в результате атаки скомпрометирован ограниченный набор конфиденциальных данных (полные имена, даты рождения, номера телефонов, адреса электронной почты и сведения о пожертвованиях) и что в руки хакеров не попала такая информация, как сведения о банковских счетах, номера социального страхования (SSN), имена пользователей и пароли. Однако, позже компания была вынуждена признать, что  киберпреступники похитили у части клиентов довольно широкий спектр информации.

Кто пострадал?

Группа хакеров украла персональные данные целого ряда некоммерческих организаций как в США, так и за рубежом. Жертвами атаки стали  организации сферы здравоохранения, благотворительные фонды, правозащитные организации, университеты и колледжи, фонды распределения продовольствия, музеи, некоммерческие радиостанции. Среди пострадавших организаций Planned Parenthood, Human Rights Watch, организация бойскаутов Америки, Президентский центр Джорджа Буша, школа дизайна в Род-Айленде, Канадский фонд помощи больным с сердечно-сосудистыми заболеваниями и другие.

Что дальше?

Похищенная информация может служить для масштабных фишинговых атак на пользователей. В Blackbaud уверяют, что регулярно проводят изучение даркнета: не выставлены ли там украденные данные? Однако, пока специалисты по мониторингу не обнаружили никаких доказательств слива хакерами украденной информации на подпольные форумы.

Тем не менее, к весне 2021 г.  в адрес Blackbaud уже подано более 20 исков от пострадавших компаний, в том числе коллективные иски от пользователей