Утечка данных Blackbaud после атаки программ-вымогателей на университеты и некоммерческие организации

21 июля Йоркский университет в Англии проинформировал своих студентов о проблеме кибербезопасности. Согласно официальному заявлению, университет был проинформирован о крупной ситуации с программами-вымогателями и утечкой данных, от которой пострадала базирующаяся в США компания Blackbaud:

16 июля к нам обратился сторонний поставщик услуг, Blackbaud, один из крупнейших в мире поставщиков систем управления взаимоотношениями с клиентами для некоммерческих организаций и сектора высшего образования. Они сообщили нам, что стали жертвой атаки программы-вымогателя в мае 2020 года. Киберпреступник смог удалить копию подмножества данных у ряда своих клиентов. Это включало подмножество данных Йоркского университета.

Университет Йорка заявил, что основные типы данных, украденных в результате атаки программы-вымогателя, включают личные данные, такие как имена, студенческий билет, контактную информацию, основные отношения с университетом (например, программы для выпускников) и многое другое. Вскоре Blackbaud опубликовал официальное заявление в ответ на растущую критику в отношении того, что они слишком медленно справились с инцидентом. Благодаря этому уведомлению об инциденте безопасности стало ясно, что атака программы-вымогателя и последующая утечка данных затрагивают не только Йоркский университет.

Заявление само по себе было довольно расплывчатым и более или менее обрисовывало в общих чертах то, что уже было известно. Однако один компонент заявления был довольно интересным, а именно там, где Блэкбод говорит: «Подмножество клиентов, которые были частью этого инцидента, были уведомлены и снабжены дополнительной информацией и ресурсами». Заметив множественное число «клиентов» и сделав вывод, что были и другие жертвы, журналисты службы безопасности провели собственное расследование.

По данным BBC, пострадал ряд университетов, помимо Йоркского университета. В своей статье технические репортеры Джо Тайди и Лео Келион называют девять других высших учебных заведений, в том числе Университетский колледж Оксфорда, Лондонский университет, Канадский университет Амброуза и Школу дизайна Род-Айленда. Еще более разрушительным для репутации Блэкбода является тот факт, что BBC News также обнаружила, что нарушение затрагивает Human Rights Watch и Young Minds (благотворительная организация по охране психического здоровья детей).

Blackbaud может столкнуться с серьезными последствиями из-за того, что не сможет быстро проинформировать своих клиентов об утечке данных. Очевидно, они прямо нарушают GDPR, который требует оповещения затронутых сторон об инцидентах в течение 72 часов, и за это им придется понести ответный удар. Это больше, чем пиар-кошмар для Blackbaud; это вполне может быть концом их бизнеса.