Más de 20 universidades y organizaciones benéficas en el Reino Unido, Estados Unidos y Canadá han confirmado que son víctimas de un ataque cibernético que comprometió a un proveedor de software.
Blackbaud fue rescatado por piratas informáticos en mayo y pagó un rescate no revelado a los ciberdelincuentes.
La firma con sede en los Estados Unidos es el mayor proveedor mundial de software de administración de educación, recaudación de fondos y gestión financiera.
Blackbaud no está revelando la escala de la brecha.
Docenas más de organizaciones benéficas y educativas pueden haber sido afectadas.
La compañía de servicios en la nube enfrenta críticas después de tomarse semanas para advertir a las víctimas que los datos habían sido robados.
En algunos casos, los detalles personales se limitaban a los de antiguos alumnos, a quienes se les había pedido que apoyaran financieramente los establecimientos de los que se habían graduado. Pero en otros casos, se extendió al personal, estudiantes existentes y otros seguidores.
Las instituciones que la BBC ha confirmado que se han visto afectadas son:
- Universidad de birmingham
- Universidad De Montfort
- Universidad de Strathclyde
- Universidad de Exeter
- Universidad de york
- Universidad de Oxford Brookes
- Universidad de Loughborough
- Universidad de Leeds
- Universidad de londres
- Universidad de lectura
- Colegio universitario, Oxford
- Colegio Middlebury, Vermont
- Universidad de West Virginia
- New College of Florida
- Preparatoria Cheverus: Preparatoria Católica Portland
- La escuela Bishop Strachan, Canadá
- Universidad del norte de Florida
- Universidad Ambrose, Alberta, Canadá
- Escuela de Diseño de Rhode Island, EE. UU.
Otras organizaciones, incluidas organizaciones benéficas, confirmadas como afectadas son:
- Coro sin nombre
- Vermont Foodbank
- Radio pública de Vermont
- Proyecto de derechos de los inmigrantes del noroeste
- Observador de derechos humanos
- Mentes jóvenes
Todas las instituciones envían cartas y correos electrónicos disculpándose con aquellos en las bases de datos comprometidas.
En algunos casos, los datos robados incluyeron números de teléfono, historial de donaciones y eventos a los que asistió. La tarjeta de crédito y otros detalles de pago no parecen haber sido expuestos.
Un portavoz del Centro Nacional de Seguridad Cibernética del Reino Unido dijo: “Somos conscientes de este incidente y estamos respondiendo a los socios en el Reino Unido e internacionalmente en respuesta. Instamos a todas las organizaciones a leer nuestra guía sobre cómo defenderse contra ataques de malware y ransomware”. “
Blackbaud, cuya sede se encuentra en Carolina del Sur, insiste en que “la mayoría de nuestros clientes no formaron parte de este incidente”.
Remitió a la BBC a una declaración en su sitio web: “En mayo de 2020, descubrimos y detuvimos un ataque de ransomware. Antes de bloquear al ciberdelincuente, el ciberdelincuente eliminó una copia de un subconjunto de datos de nosotros mismos. ambiente hospedado “.
Pagó a los hackers
La declaración continúa diciendo que Blackbaud pagó la demanda de rescate. Hacerlo no es ilegal, pero va en contra del consejo de numerosas agencias de aplicación de la ley, incluidos el FBI, NCA y Europol.
Blackbaud dijo que una vez que los hackers fueron pagados, habían dado “confirmación de que la copia [of data] habían eliminado habían sido destruidos “.
“Es preocupante que el proveedor haya pagado el rescate, ya que podría alentar ataques futuros y no supera el hecho de que los datos se han visto comprometidos. Esto demuestra el efecto multiplicador de los ataques a la cadena de suministro y refuerza el consejo de que la seguridad debe ser ejercicio de colaboración “, dijo Cath Goulding, directora de seguridad de la información de la firma de ciberseguridad Nominet.
No está claro cuántas personas han recibido notificaciones, pero algunos ex alumnos y estudiantes afectados han expresado su preocupación en las redes sociales y ante la BBC de que ahora les preocupa que los ciberdelincuentes sean fieles a su palabra.
Ley de Privacidad
Se están haciendo preguntas sobre por qué Blackbaud tardó semanas en informar a sus clientes sobre el hack.
Según el Reglamento general de protección de datos (GDPR), las empresas deben informar una violación significativa a las autoridades de datos dentro de las 72 horas posteriores a la notificación de un incidente, o enfrentar posibles multas.
La Oficina del Comisionado de Información del Reino Unido [ICO], así como a las autoridades de datos canadienses, fueron informados sobre la violación el pasado fin de semana, semanas después de que Blackbaud descubriera el ataque.
En el aviso a sus estudiantes, la Fundación de la Universidad de West Virginia dijo que estaba “trabajando con Blackbaud para comprender por qué hubo un retraso entre encontrar la violación y notificarnos, así como también qué acciones está tomando Blackbaud para aumentar su seguridad”.
Una de las instituciones afectadas le dijo a la BBC que el hack está afectando a un producto llamado NetCommunity que Blackbaud describe en su sitio web como un ‘sistema de software de gestión y participación de ex alumnos para organizaciones sin fines de lucro’.
Dynamic professional with a unique combination of technical expertise and business acumen. Progressive specialization in the management of independent profit centers and management of own companies. Exploring disruptive innovations in bespoke user experience and I love writing tech articles.