Blackbaud schikt misleidende melding over ransomware voor drie miljoen dollar
Cloudsoftwarebedrijf Blackbaud, dat in 2020 door een ransomware-aanval werd getroffen dat onder andere voor een datalek bij de TU Delft en Universiteit Utrecht zorgde, heeft een misleidende melding over het incident voor een bedrag van drie miljoen dollar geschikt. Dat heeft de Amerikaanse beurswaakhond SEC laten weten.
Blackbaud is een cloudsoftwarebedrijf dat allerlei diensten aan non-profitorganisaties en onderwijsinstellingen levert, waaronder CRM-systemen (customer relationship management). Bij de ransomware-aanval wist de aanvaller gegevens van dertienduizend klanten te stelen. Blackbaud betaalde de aanvaller om de gegevens te vernietigen en stelde dat er geen bankgegevens of socialsecurity-nummers waren buitgemaakt.
Het personeel ontdekte dat de aanvaller deze gevoelige informatie wel had gestolen. De medewerkers lieten dit door het ontbreken van meldprocedures niet aan het management weten dat voor de datalekmelding verantwoordelijk was. Toen het bedrijf in augustus 2020 de ransomware-aanval bij de SEC meldde ontbrak deze informatie dan ook. Hierdoor heeft Blackbaud investeerders niet tijdig en juist geïnformeerd. Het bedrijf heeft hiermee de Amerikaanse Securities Act overtreden. De SEC en Blackbaud zijn nu voor deze overtreding een schikking van drie miljoen dollar overeengekomen.
Bij de TU Delft en Universiteit Utrecht werden door de aanval op Blackbaud de privégegevens van zo'n 250.000 alumni, donateurs en relaties van de universiteiten gestolen. Van zesduizend afgestudeerden van de Universiteit Utrecht ging het ook om burgerservicenummers. Het incident leidde nog tot vragen in de Tweede Kamer.
De Cloud verbergt soms meer dan ie 'openbaart'.
Hoe komen we uit de huidige dystopie op de infrastructuur?
Of gaat er komen waar WEF reeds langer voor waarschuwt - een enorme grote outing van het net?
Als oud-F.R.A.V.I.A. (R.I.P.) -adept vraag ik het me wel eens af: "Hoe kon het middels graailust zo ver komen?".
Zijn de digi-cyber-Shayatin al overal de baas? Na de kleine tekenen op de klok, komen dadelijk de grote wel.
Shakespeare zou hebben gezegd: "De hel is leeg, ze zijn al allemaal hier'.
#webproxy
Er staat niet dat die medewerkers de informatie voor zich hielden of wie dan ook misleid hebben, er staat dat in die organisatie niet geregeld was dat de informatie aan de juiste partij werd doorgegeven. Dat kan misgaan terwijl iedereen open en eerlijk is en helemaal niets voor zich houdt. Degenen die verantwoordelijk waren voor de datalekmelding logen op hun beurt niet door iets niet op te nemen waar ze geen weet van hadden.
Niet elke onwaarheid is namelijk een leugen; een leugen is een bewuste onwaarheid. Daar lijkt hier geen sprake van te zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
