英国、美国和加拿大的20多所大学和慈善机构证实,他们是一次网络攻击的受害者,这次攻击危及了一家软件供应商的安全。
布莱克波特在5月份被黑客勒索赎金,并向网络罪犯支付了一笔未披露的赎金。
这家总部位于美国的公司是世界上最大的教育管理、筹款和财务管理软件提供商。
这家云服务公司在花了几周时间警告受害者数据被盗后,正面临批评。
在某些情况下,个人细节仅限于以前的学生,他们被要求资助他们毕业的机构。但在其他情况下,它延伸到了教职员工、现有学生和其他支持者。
所有的机构都在向那些被泄露的数据库中的人发出信件和电子邮件道歉。
在某些情况下,被盗的数据包括电话号码、捐赠历史和参加的活动。信用卡和其他支付细节似乎没有被曝光。
英国国家网络安全中心的一位发言人表示:我们已经意识到这一事件,并正在支持英国和国际上的合作伙伴做出回应。我们敦促所有组织阅读我们关于如何防御恶意软件和勒索软件攻击的指南。
总部设在南卡罗来纳州的布莱克波特坚称,我们的大多数客户都不是这起事件的一部分。
它让BBC参考了其网站上的一份声明:2020年5月,我们发现并阻止了一次勒索软件攻击。在我们将网络罪犯锁在门外之前,网络罪犯从我们的自托管环境中删除了一份数据子集的副本。
声明接着说,布莱克波特支付了赎金要求。这样做并不违法,但违背了包括FBI、NCA和欧洲刑警组织在内的众多执法机构的建议。
布莱克波特说,一旦黑客拿到钱,他们就已经确认他们移走的[数据]副本已经销毁。
令人担忧的是,供应商支付了赎金,因为可以说,这鼓励了未来的攻击,而且没有克服数据已被泄露的事实。网络安全公司Nominet的首席信息安全官凯斯·古尔丁(Cath Goulding)表示,这证明了供应链黑客的乘数效应,并强化了安全需要成为一种协作练习的建议。
目前还不清楚有多少人收到了通知,但一些受影响的校友和学生在社交媒体和BBC上表达了担忧,他们现在担心网络罪犯信守诺言。
有人问为什么Blackbaud花了几周的时间才通知客户这次黑客攻击。
根据一般数据保护条例(GDPR),公司必须在得知事件后72小时内向数据当局报告重大违规行为,否则可能面临罚款。
上周末,在布莱克波特发现黑客攻击几周后,英国信息专员办公室[ICO]以及加拿大数据管理机构被告知了这一信息泄露事件。
在发给学生的通知中,西弗吉尼亚大学基金会表示,它正在与布莱克波特合作,以了解为什么在发现漏洞和通知我们之间存在延迟,以及布莱克波特正在采取哪些行动来加强安全。
其中一家受影响的机构告诉BBC,黑客正在影响一款名为NetCommunity的产品,布莱克波特在其网站上将其描述为面向非营利性组织的校友参与和管理软件系统。