En su queja , la FTC dice que Blackbaud, que brinda servicios de datos y servicios de software administrativo, financiero y de recaudación de fondos a empresas, organizaciones sin fines de lucro, organizaciones de atención médica y otros, no implementó salvaguardias adecuadas para asegurar y proteger las grandes cantidades de datos personales que mantiene como parte de los servicios que brinda a sus clientes.

«Las malas prácticas de seguridad y retención de datos de Blackbaud permitieron a un pirata informático obtener datos personales confidenciales sobre millones de consumidores», dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. «Las empresas tienen la responsabilidad de proteger los datos que mantienen y eliminar los datos que ya no necesitan».

La FTC dice que, a pesar de prometer a los clientes que tomará “protecciones físicas, electrónicas y procesales apropiadas para proteger su información personal”, Blackbaud engañó a los usuarios al no implementar dichas salvaguardias. Por ejemplo, la empresa no supervisó los intentos de los piratas informáticos de violar sus redes, no segmentó los datos para evitar que los piratas informáticos accedieran fácilmente a sus redes y bases de datos, no garantizó que se eliminaran los datos que ya no eran necesarios, no implementó adecuadamente la autenticación multifactor y no probó, revisó y evaluó. sus controles de seguridad. Además, la empresa permitió a los empleados utilizar contraseñas predeterminadas, débiles o idénticas para sus cuentas, según la denuncia.

Como resultado de estas fallas, un pirata informático accedió a principios de 2020 a la base de datos alojada en Blackbaud de un cliente, según la denuncia. Una vez que inició sesión, el atacante pudo moverse libremente a través de múltiples entornos alojados en Blackbaud aprovechando las vulnerabilidades existentes y las cuentas de administrador local y creando nuevas cuentas de administrador, según la denuncia. La violación no fue detectada durante tres meses, lo que permitió al pirata informático eliminar cantidades masivas de datos confidenciales no cifrados pertenecientes a los clientes de Blackbaud.

Además de no cifrar datos confidenciales ni implementar firewalls adecuados para ayudar a protegerlos, Blackbaud retuvo los datos durante mucho más tiempo del necesario para el propósito para el cual se mantenían, incluida la información perteneciente a antiguos clientes, según la denuncia.

Una vez que la empresa detectó la infracción, Blackbaud acordó pagar un rescate de 24 Bitcoin, por un valor aproximado de 250.000 dólares, después de que el hacker amenazara con exponer los datos robados. Sin embargo, la compañía nunca verificó que el pirata informático realmente haya eliminado los datos robados, según la denuncia.

Al mismo tiempo, la compañía esperó casi dos meses para notificar a sus clientes sobre la violación y luego engañó a los consumidores sobre el alcance de los datos robados, diciéndoles que no necesitaban tomar ninguna medida en respuesta a la violación, según la queja. Aunque ya sabía a finales de julio de 2020 que el pirata informático había obtenido datos confidenciales, incluida información de la Seguridad Social y de cuentas bancarias, la empresa esperó otros dos meses antes de informar a sus clientes sobre el alcance total de la violación. La FTC dice que esta demora perjudicó a los consumidores que no pudieron tomar medidas para protegerse de un posible robo de identidad y otros posibles daños resultantes de la infracción.

Además de exigir a Blackbaud que elimine los datos que ya no necesita para proporcionar productos o servicios a sus clientes, la orden propuesta  prohibirá a la empresa tergiversar sus políticas de retención y seguridad de datos. La orden propuesta también requerirá que Blackbaud desarrolle un programa integral de seguridad de la información que aborde los problemas destacados por la queja de la FTC. Además, la empresa también deberá establecer un programa de retención de datos que detalle por qué conserva datos personales y cuándo eliminará dicha información. La orden propuesta también requiere que Blackbaud notifique a la FTC si experimenta una futura violación de datos que deba informar a cualquier otra agencia local, estatal o federal.

La Comisión votó 3-0 para emitir la queja administrativa y aceptar el acuerdo de consentimiento propuesto con Blackbaud. La presidenta de la FTC, Lina M. Khan, y los comisionados Rebecca Kelly Slaughter y Alvaro Bedoya emitieron una declaración conjunta .

La FTC publicará pronto una descripción del paquete de acuerdo de consentimiento en el Registro Federal. El acuerdo estará sujeto a comentarios públicos durante 30 días después de su publicación en el Registro Federal, después de lo cual la Comisión decidirá si la orden de consentimiento propuesta es definitiva. Las instrucciones para presentar comentarios aparecerán en el aviso publicado. Una vez procesados, los comentarios se publicarán en Regulaciones.gov .

NOTA: La Comisión emite una queja administrativa cuando tiene “razones para creer” que la ley ha sido o está siendo violada, y le parece que un procedimiento es de interés público. Cuando la Comisión emite una orden de consentimiento con carácter definitivo, tiene fuerza de ley con respecto a acciones futuras. Cada violación de dicha orden puede resultar en una multa civil de hasta $51,744. 

Los abogados principales en este asunto son Cathlin Tully y Kamay Lafalaise de la Oficina de Protección al Consumidor de la FTC.