Violación de datos de Blackbaud: lo que debe saber


Esto es lo que debe tener en cuenta si sus datos personales se vieron comprometidos en la infracción del proveedor de program en la nube.

¿Es otra violación de datos lo suficientemente digna de noticias como para escribir una entrada de blog? Probablemente no, a menos que haya una conexión personalized o algo interesante. En el caso de Blackbaud, para mí, hay ambos. La mayoría de los clientes de Blackbaud son organizaciones sin fines de lucro, como universidades, una de las cuales tenía datos relacionados con alguien que conozco. Esa universidad, como lo exige la Unión Europea Reglamento basic de protección de datos, envió una notificación oficial de la infracción a mi amigo, que me remitieron de inmediato, dándose cuenta de su importancia y que yo podría tener una opinión. Tenían razón, especialmente porque la notificación establece que los destinatarios de la notificación no deben hacer nada más que permanecer atentos e informar cualquier cosa sospechosa.

Blackbaud, una empresa de application en la nube, divulgado que habían sido víctimas de un intento de ataque de ransomware. Entre su equipo de ciberseguridad, un experto forense y las fuerzas del orden público, se frustró con éxito. Desafortunadamente, el perpetrador, antes de ser bloqueado, copió un subconjunto de datos que luego ofreció eliminar por una suma de dinero no revelada. Blackbaud pagó el rescate para eliminar y recibió la confirmación de que los datos habían sido destruidos. Afirman haber tomado esta acción porque «proteger los datos de nuestros clientes es nuestra máxima prioridad».

Financiar a los ciberdelincuentes de esta manera tiene muchas consecuencias: pueden volver más tarde sabiendo que usted está dispuesto a pagar, puede alentar a otros a atacar y, en specific, financia a este mal actor para lanzar un ataque contra la próxima víctima. Al igual que con la pandemia real, solo cuando trabajemos juntos podremos librar al mundo de las cosas malas, como los ciberdelincuentes, y las acciones de Blackbaud o de cualquier empresa que pague a los ciberdelincuentes podrían considerarse egoístas.

La notificación por correo electrónico de la Universidad de York en Reino Unido, notificando a una de las verdaderas víctimas de este delito (mi amigo), cuyos datos potencialmente han sido violados. La universidad proporciona una explicación detallada de la situación y numerosas formas de contactarla para obtener ayuda.

La notificación brinda una lista detallada de los tipos de información involucrada: nombre, sexo, fecha de nacimiento, dirección de correo electrónico, número de teléfono y muchos otros elementos de datos personales como actividades extracurriculares, profesión, empleador y nivel educativo. Los datos con este nivel de detalle podrían usarse de diversas formas, entre las más probables se encuentran el robo de identidad y el spearphishing. Es probable que un correo electrónico de phishing bien elaborado que aproveche la información particular sobre un interés, actividad, ocupación o empleador o competidor produzca una tasa de clics más alta y un posible robo de credenciales para un ciberdelincuente que un correo electrónico de spam de phishing más genérico.

¿Qué falta?

Como puede ver en el correo electrónico, el consejo es no hacer nada más que mantenerse alerta y reportar cualquier actividad sospechosa. Proporcionar alguna orientación sobre los tipos de amenazas que podrían desencadenarse parece ser lo mínimo que cualquier organización debería ofrecer. Una opción que toman muchas empresas que sufren una violación de datos es ofrecer monitoreo de robo de identidad, ya sea a través de una empresa especializada o una agencia de monitoreo de crédito.

Los servicios de monitoreo de robo de identidad recorren la world-wide-web oscura en busca de información como direcciones de correo electrónico o números de seguridad social y le advierten si alguien intenta obtener crédito a su nombre. La oferta de un servicio de este tipo, que normalmente le costaría a la víctima más de 100 dólares estadounidenses al año por un servicio básico, muestra un comportamiento responsable, buena voluntad y estoy seguro de que pacifica a los organismos reguladores que investigan el comportamiento de la organización violada.

LECTURA RELACIONADA: Pasos sencillos para protegerse contra el robo de identidad

En este caso, no se ofreció ningún servicio de monitoreo de protección contra robo de identidad, por lo que le aconsejé a mi amigo que preguntara si la universidad o Blackbaud tenían la intención de ofrecerlo. Efectivamente, la universidad regresó casi instantáneamente con los detalles de cómo registrarse y la oferta de una suscripción de un año sin costo. Me pregunto cuántas de las víctimas están lo suficientemente informadas como para saber que tal servicio existe o que deberían estar solicitándolo. En mi opinión, debería ser una oferta obligatoria para todas las víctimas.

Déjame recapitular no es necesario realizar ninguna acción y no se ofrece protección contra el robo de identidad, a menos que lo solicite. ¡Espero que puedas sentir la frustración en mis palabras!

La imagen más amplia

Recibir un correo electrónico indicando que sus datos han estado involucrados en una violación de datos no es inusual, pero ¿cuántas violaciones hay y a cuántas personas afectan?

Según la Ley de Privacidad del Consumidor de California, todas las empresas y agencias estatales están obligadas por ley a notificar a un residente de California si sospechan o saben que una persona no autorizada ha adquirido información individual no cifrada. La ley también requiere que se proporcione una copia de la notificación al Fiscal General de California si se ha enviado a más de 500 residentes de California. En los 30 días de junio de 2020, hay 38 notificaciones de este tipo enumeradas en el sitio world wide web, algunos de los cuales se relacionan con la violación de datos de Blackbaud.

Si asumimos que esta tasa es típica y la escala se basa en estimaciones de la población mundial y de California, esperaríamos aproximadamente 7500 violaciones de datos por mes. De acuerdo a statista, entre 2005 y 2019 inclusive, las violaciones de datos en los EE. UU. promediaron un poco más de 155,000 registros por violación. Sé que esta es una forma defectuosa de calcular una estadística, pero permítame … Si aplicamos los registros promedio de statista por violación a nuestra estimación de 7.500 violaciones por mes en todo el mundo, obtenemos una estimación de un full anual de poco menos de 14 mil millones de registros violados. Otra forma de ver esto es que los datos de todas las personas se violan casi dos veces al año.

Hay tantas violaciones de datos que es difícil saber cuántas veces su información individual puede haber sido robada por un delincuente cibernético despreciable y de poca monta. Quizás debería haber un premio cada año para la persona que ha sido víctima de la mayor cantidad de violaciones de datos y un premio para la persona que no ha sido parte de ninguna violación, si tal persona existe.





Enlace a la noticia first