Blackbaud: les coordonnées bancaires et les mots de passe menacés dans le piratage d’organismes de bienfaisance géants

Les informations de compte bancaire et les mots de passe des utilisateurs font partie des détails que les pirates informatiques craignent de voler dans le cadre d’une faille de sécurité dans un service utilisé pour collecter des dons auprès de millions de personnes.

De nombreuses universités et associations caritatives britanniques, ainsi que des centaines d’autres organisations dans le monde, utilisent les logiciels concernés.

Il a ajouté qu’il contactait les clients concernés. Ils devront à leur tour envoyer des alertes de suivi à au moins certains des donateurs qu’ils avaient déjà contactés au sujet de l’incident.

Des millions de personnes dans le monde ont été prévenues qu’elles auraient pu être affectées par les alertes initiales envoyées au sujet de l’attaque ces derniers mois.

La société basée en Caroline du Sud a déclaré que les nouvelles découvertes ne s’appliquaient pas à tous les clients affectés par le piratage, mais a reconnu que, dans certains cas, les informations de paiement impliquées n’avaient pas été cryptées numériquement, comme on pouvait s’y attendre.

“Une enquête judiciaire plus approfondie a révélé que pour certains des clients notifiés, le cybercriminel peut avoir accédé à certains champs non cryptés destinés aux informations de compte bancaire, aux numéros de sécurité sociale, aux noms d’utilisateur et / ou aux mots de passe”, indique son dossier.

“Dans la plupart des cas, les champs destinés aux informations sensibles étaient cryptés et non accessibles.”

Un expert en cybersécurité a déclaré qu’il était essentiel que les donateurs concernés en soient informés le plus tôt possible.

«Il n’est tout simplement pas acceptable de stocker des données financières et des mots de passe sous une forme non chiffrée», a déclaré le professeur Alan Woodward de l’Université de Surrey.

“Cette dernière révélation signifie que si leurs clients se sont appuyés sur leurs déclarations initiales pour rassurer les gens sur le fait que les informations bancaires n’ont pas été affectées, cela doit maintenant être potentiellement inversé.”

La BBC a demandé à Blackbaud si l’un de ses clients basés au Royaume-Uni faisait partie des personnes touchées, mais n’a pas encore obtenu de réponse.

À la mi-août, le bureau du commissaire à l’information a déclaré qu’il connaissait 166 organisations britanniques qui avaient été touchées par la faille de sécurité.

Ils comprenaient des dizaines d’universités ainsi que des organismes de bienfaisance liés à la santé, des écoles et des fiducies créées pour prendre soin de bâtiments historiques.

Les clients internationaux qui ont été touchés comprenaient également des hôpitaux, des organisations de défense des droits de l’homme, des stations de radio à but non lucratif et des banques alimentaires.

Le piratage a eu lieu en mai et a été divulgué au public pour la première fois en juillet.

À l’époque, Blackbaud a déclaré qu’il avait payé une rançon aux assaillants et pensait que les voleurs avaient par la suite détruit les données volées.

Le paiement d’une rançon dans de telles circonstances n’est pas illégal, mais va à l’encontre de l’avis de nombreux services répressifs, dont le FBI, la NCA et Europol.