Más de 20 universidades y organizaciones de caridad en el reino unido, estados unidos y Canadá han confirmado que son víctimas de un ciber-ataque que pone en peligro un proveedor de software.
Blackbaud se realizó para pedir rescate por los hackers en Mayo y pagado desconocido rescate a los ciber-delincuentes.
La firma estadounidense es el mayor proveedor mundial de administración de la educación, recaudación de fondos, gestión financiera y de software.
Blackbaud es no revelar la magnitud de la infracción.
Docenas de organizaciones benéficas y organizaciones educativas pueden haber sido afectados.
El servicio en la nube de la compañía se enfrenta a las críticas después de tomar semanas para advertir a las víctimas que los datos habían sido robados.
En algunos casos, la información personal se limita a aquellos de los antiguos alumnos, a quienes se les pidió apoyar financieramente a los establecimientos de los que se habían graduado. Pero en otros casos, se extendió al personal, a los estudiantes actuales y otros simpatizantes.
Las instituciones de la BBC ha confirmado que han sido afectados son:
Universidad de Strathclyde, de la Universidad de Exeter y la Universidad de York, Oxford Brookes University la Universidad de Loughborough, Universidad de la Universidad de Leeds de la Universidad de Londres de la Lectura de la University College, de Oxford Middlebury College, Vermont West Virginia University de New College de la Florida Cheverus de la Escuela secundaria: Escuela secundaria Católica de Portland El Obispo, Strachan, de la Escuela, Canadá Universidad de Florida del Norte Ambrose University, Alberta, Canada Rhode Island School of Design, NOS
Otras organizaciones, incluyendo organizaciones de beneficencia, confirmado como afectados son:
Coro con Ningún Nombre de Vermont comedores de pobres Vermont Radio Pública Northwest Immigrant Rights Project Human Rights Watch las Mentes de los Jóvenes
Todas las instituciones son el envío de cartas y correos electrónicos de disculpas a las personas en peligro las bases de datos.
copyright de Imagen leyenda de la Imagen de La Universidad de York es uno de los afectados
En algunos casos, los datos robados incluyen números de teléfono, historial de donaciones y eventos a los que asisten. Tarjeta de crédito y otros detalles de pago, no parecen haber sido expuesto.
Blackbaud, cuya sede se encuentra en Carolina del Sur, insiste en que «la mayoría de nuestros clientes no eran parte de este incidente».
Se refiere a la BBC en un comunicado en su página web: «En Mayo de 2020, hemos descubierto y se detuvo un ataque de ransomware. Antes del cierre de los ciber-criminales, el ciber-criminales quitado una copia de un subconjunto de datos de nuestra auto-organizada de medio ambiente».
Pagado los hackers
La instrucción va a decir Blackbaud pagado el rescate de la demanda. Hacerlo no es ilegal, sino que va en contra de la opinión de numerosas agencias de la ley, incluyendo el FBI, NCA y Europol.
Blackbaud dijo una vez que los piratas habían sido pagados, se había dado «la confirmación de que la copia [de datos] partieron había sido destruido».
«es preocupante que el proveedor pagado el rescate como, sin duda, que anima a los ataques en el futuro y no superar el hecho de que la información ha sido comprometida. Esto demuestra el efecto multiplicador de la cadena de suministro de hacks y refuerza el consejo de que la seguridad debe ser un ejercicio de colaboración,» Cath Goulding, jefe de seguridad de la información oficial en seguridad cibernética, firma de Nominet, dijo.
copyright de Imagen de la Imagen de la leyenda de la Oxford Brookes University es uno de los que ponerse en contacto con los estudiantes sobre el hack
no está claro cuántas personas se han enviado notificaciones, pero algunos de los egresados y los estudiantes afectados han expresado su preocupación sobre medios de comunicación social y a la BBC que ahora están preocupados por los ciber-criminales de ser fiel a su palabra.
la ley de Privacidad
se les Pregunta acerca de por qué Blackbaud tomó semanas para informar a sus clientes de la hack.
Bajo el General de Protección de Datos Reglamento (GDPR), las empresas deben informar de una infracción significativa de los datos de las autoridades dentro de las 72 horas de aprendizaje de un incidente o se enfrentan a posibles multas.
en el reino unido La Oficina del Comisionado de Información [ICO], así como la Canadiense datos de las autoridades, fueron informados acerca de la violación el pasado fin de semana – semanas después de Blackbaud descubierto el truco.
En el aviso a los estudiantes de la Universidad de Virginia Occidental de la Fundación dijo que era «trabajar con Blackbaud para entender por qué hay un retraso entre la búsqueda de la infracción y notificación, así como las acciones Blackbaud está tomando para aumentar su seguridad».
Blackbaud no ha dicho que los productos o servicios, que fueron atacados, pero en una universidad, señaló a una herramienta online llamada Tabica Perimetral de NXT que gestiona los registros y el seguimiento de la participación de los donantes, egresados y personal administrativo.