Blackbaud因勒索软件攻击被起诉300万美元

云软件提供商Blackbaud已同意支付300万美元，就其在2020年重大勒索软件攻击后提交的监管文件提出的指控达成和解。

这家总部位于南卡罗来纳州的公司向非营利组织、学校和其他社会公益组织销售软件。该公司当时表示，他们发现并遏制了2020年5月的攻击，但威胁行为者设法窃取了属于客户的敏感数据。

在声称已经向勒索者支付了赎金后，Blackbaud表示，没有理由相信被盗数据被滥用或将被传播或以其他方式公开。

然而，美国证券交易委员会上周晚些时候发布的命令称，Blackbaud在2020年8月提交的季度报告遗漏了有关攻击范围的细节。

监管机构指出，该公司曾表示，捐赠者信息被黑客窃取的风险是假设的。事实上，Blackbaud技术和客服人员知道捐赠者的银行账户和社保信息被盗，但没有告知高级管理层。

证交会裁定，这是由于未能妥善维护披露控制和程序。

SEC执法部门加密资产和网络部门负责人David Hirsch表示:“正如命令所发现的那样，Blackbaud未能披露勒索软件攻击的全部影响，尽管其人员了解到其之前关于攻击的公开声明是错误的。上市公司有义务向投资者提供准确、及时的重要信息。布莱克波特未能做到这一点。”

布莱克波特将支付300万美元的民事罚款，这并不意味着承认有罪。不过，该公司已同意停止违反《证券法》和《证券交易法》的行为。

SEC表示，最终，勒索软件漏洞影响了超过1.3万名客户。