Technology

Blackbaud: les coordonnées bancaires et les mots de passe menacés dans le piratage d’organismes de bienfaisance géants

Par Leo Kelion
Éditeur du bureau technologique

droit d’auteur d’imageGetty Images

légendeLe logiciel de Blackbaud est utilisé par des organisations à but non lucratif pour aider à obtenir des dons

Les informations de compte bancaire et les mots de passe des utilisateurs font partie des détails que les pirates informatiques craignent de voler dans le cadre d’une faille de sécurité dans un service utilisé pour collecter des dons auprès de millions de personnes.

De nombreuses universités et associations caritatives britanniques, ainsi que des centaines d’autres organisations dans le monde, utilisent les logiciels concernés.

Son développeur Blackbaud

fait l’admission dans un dossier réglementaire.

La société avait précédemment déclaré que le vol avait été limité à d’autres données personnelles – mais pas aux détails de paiement.

Il a ajouté qu’il contactait les clients concernés. Ils devront à leur tour envoyer des alertes de suivi à au moins certains des donateurs qu’ils avaient déjà contactés au sujet de l’incident.

Des millions de personnes dans le monde ont été prévenues qu’elles auraient pu être affectées par les alertes initiales envoyées au sujet de l’attaque ces derniers mois.

‘Pas acceptable’

La société basée en Caroline du Sud a déclaré que les nouvelles découvertes ne s’appliquaient pas à tous les clients affectés par le piratage, mais a reconnu que, dans certains cas, les informations de paiement impliquées n’avaient pas été cryptées numériquement, comme on pouvait s’y attendre.

“Une enquête judiciaire plus approfondie a révélé que pour certains des clients notifiés, le cybercriminel peut avoir accédé à certains champs non cryptés destinés aux informations de compte bancaire, aux numéros de sécurité sociale, aux noms d’utilisateur et / ou aux mots de passe”, indique son dossier.

droit d’auteur d’imageGetty Images
légendeDes dizaines d’universités ont envoyé des courriels et d’autres alertes aux étudiants et anciens élèves actuels au sujet de l’attaque

“Dans la plupart des cas, les champs destinés aux informations sensibles étaient cryptés et non accessibles.”

Un avis de sécurité mis à jour sur le site de l’entreprise a ajouté que l’entreprise ne pensait pas que les détails de la carte de crédit avaient été exposés.

Un expert en cybersécurité a déclaré qu’il était essentiel que les donateurs concernés en soient informés le plus tôt possible.

«Il n’est tout simplement pas acceptable de stocker des données financières et des mots de passe sous une forme non chiffrée», a déclaré le professeur Alan Woodward de l’Université de Surrey.

“Cette dernière révélation signifie que si leurs clients se sont appuyés sur leurs déclarations initiales pour rassurer les gens sur le fait que les informations bancaires n’ont pas été affectées, cela doit maintenant être potentiellement inversé.”

Réclamations légales

La BBC a demandé à Blackbaud si l’un de ses clients basés au Royaume-Uni faisait partie des personnes touchées, mais n’a pas encore obtenu de réponse.

À la mi-août, le bureau du commissaire à l’information a déclaré qu’il connaissait 166 organisations britanniques qui avaient été touchées par la faille de sécurité.

Ils comprenaient des dizaines d’universités ainsi que des organismes de bienfaisance liés à la santé, des écoles et des fiducies créées pour prendre soin de bâtiments historiques.

Les clients internationaux qui ont été touchés comprenaient également des hôpitaux, des organisations de défense des droits de l’homme, des stations de radio à but non lucratif et des banques alimentaires.

Le piratage a eu lieu en mai et a été divulgué au public pour la première fois en juillet.

À l’époque, Blackbaud a déclaré qu’il avait payé une rançon aux assaillants et pensait que les voleurs avaient par la suite détruit les données volées.

Le paiement d’une rançon dans de telles circonstances n’est pas illégal, mais va à l’encontre de l’avis de nombreux services répressifs, dont le FBI, la NCA et Europol.

Un site d’information sur la sécurité bancaire a rapporté la semaine dernière que Blackbaud faisait face à au moins 10 poursuites aux États-Unis à ce sujet.

Rubriques connexes

  • Les organismes de bienfaisance

  • Cybercriminalité
  • La cyber-sécurité
  • Cyber-attaques
  • États Unis
Afficher plus

Articles similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page