La Comisión de Bolsa y Valores de EE. UU. (SEC) anunció hoy que Blackbaud Inc., una empresa pública ubicada en Carolina del Sur que ofrece software de gestión de datos de donantes a organizaciones sin fines de lucro, acordó pagar $ 3 millones para resolver los cargos por proporcionar declaraciones engañosas sobre un ataque de ransomware en 2020 que afectó a más de 13.000 clientes. La SEC alega que Blackbaud hizo las revelaciones en un intento de engañar a los inversores sobre la gravedad del ataque.
Según la orden emitida por la SEC, Blackbaud hizo el anuncio el 16 de julio de 2020 de que el atacante de ransomware no accedió a la información personal de los donantes, incluida la información de su cuenta bancaria o números de seguro social. Pero, a los pocos días de que se hicieran estas afirmaciones, los trabajadores de TI y de relaciones con los clientes de la empresa se dieron cuenta de que el atacante, de hecho, había accedido y eliminado este material confidencial del sistema. Debido a que la corporación no mantuvo adecuadamente sus controles y procesos de divulgación, los trabajadores en cuestión no compartieron esta información con la alta dirección que era responsable de su difusión al público. Como resultado de este error.
Según el informe trimestral que se presentó ante la SEC en 2020 durante los tres meses previos a noviembre de 2020, Blackbaud ya había sido demandado en 23 casos de demanda colectiva de consumidores propuestos en los Estados Unidos y Canadá relacionados con el ataque de ransomware y la violación de datos que había ocurrido en mayo de 2020.
La empresa también reveló que las agencias gubernamentales y los reguladores de datos también realizaron investigaciones sobre el incidente. Estas investigaciones incluyen una demanda de investigación civil combinada de varios estados presentada en nombre de 43 fiscales generales estatales y el Distrito de Columbia.
Blackbaud también reconoció en su comunicado de prensa de julio de 2020 (que ahora se refiere al sitio web de seguridad de la empresa) que había pagado el rescate que exigían los atacantes después de obtener pruebas de que todos los datos robados habían sido eliminados.
Según David Hirsch, jefe de la Unidad de Ciberactivos y Ciberactivos de la División de Cumplimiento de la SEC, “según la orden, Blackbaud no reveló el efecto completo de un ataque de ransomware a pesar de que su personal se dio cuenta de que sus comentarios públicos anteriores sobre el incidente eran erróneos”. Este comentario se hizo en respuesta al hallazgo de que Blackbaud no había revelado el impacto total de un ataque de ransomware. Blackbaud no cumplió con su compromiso de proporcionar información importante precisa y oportuna a sus inversores, que es un requisito para las empresas que cotizan en bolsa.
De acuerdo con la orden emitida por la SEC, Blackbaud cometió violaciones de la Sección 17(a)(2) y la Sección 17(a)(3) de la Ley de Valores de 1933, así como la Sección 13(a) de la Ley de Bolsa de Valores. de 1934 y las Reglas 12b-20, 13a-13 y 13a-15(a) del mismo. Blackbaud acordó pagar una multa civil de $ 3 millones, abstenerse de violar estos requisitos en el futuro y dejar de cometer infracciones de estas disposiciones sin admitir o rechazar los hallazgos de la SEC.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
