La Blackbaud ha sempre sostenuto che il furto dei dati dai propri server, avvenuto tra febbraio e maggio di quest’anno, non aveva interessato dettagli sensibili come conti bancari, numeri di previdenza sociale, nomi utente e/o password dei propri clienti.
A distanza di qualche mese la Blackbaud si è vista costretta a fare un passo indietro e rivedere le proprie dichiarazioni.
Lo scorso 29 settembre in un comunicato pubblicato all’interno del proprio sito, la Blackbaud si è vista costretta ad ammettere ciò che a tutti sembrava evidente fin dai primi giorni successivi il data breach subìto fra il 07 febbraio e il 20 maggio scorsi. Il furto di dati sensibili, invece, è stato ben più grave di quanto inizialmente avevano valutato.
Facendo qualche passo indietro e analizzando più attentamente ciò che è successo si possono formulare delle certezze e alcune ipotesi.
Alcune di queste certezze sono i dati realmente esfiltrati dai sistemi IT Blackbaud durante l’attacco informatico di tipo Ransomware. Non sono stati rubati “solo” dati privati come nomi e cognomi, sesso e date di nascita, indirizzi, informazioni di contatto (numeri di telefono, indirizzi e-mail), profili dei donatori (come ad es. le proprietà immobiliari dei donatori o le cronologie delle donazioni) così come dichiarato in quasi tutti i comunicati presenti nei siti istituzionali delle Fondazioni colpite dal data breach. Il contenuto dei comunicati si basa su comunicati scritti direttamente dalla Blackbaud e inviati alle Fondazioni, generalmente, il 16 di luglio.
Comunicato_Blackbaud-Fondazioni_pag.1 Comunicato_Blackbaud- Fondazioni_pag.2Come già scritto, tra i documenti privati sottratti dal gruppo Ransomware ci sono informazioni dei clienti Blackbaud riguardanti (come ha dichiarato lei stessa nel secondo comunicato del 29 settembre) conti bancari, numeri di previdenza sociale, nomi utente e / o password. Ma ha dimenticato di scrivere che ci sono anche altri documenti molto sensibili che potrebbero essere stati copiati e sottratti.
La seconda certezza.
Blackbaud fornisce, fra gli altri, software e hosting per i database contabili dei donatori. Il database di contabilità fornisce funzionalità finanziarie, come quelle relative a informazioni dei salari dei dipendenti o di ex dipendenti, ad esempio.
In almeno un caso accertato all’interno di un’organizzazione non-profit, il gruppo Ransomware è riuscito a esfiltrare anche il “driver’s license number” e il “government ID number” (numero di patente di guida e altri numeri di identificazione governativi).
Un problema che sembrerebbe essere nato da una negligenza da parte della Blackbaud e che riguarda la conservazione e la protezione dei dati, alcuni record infatti non erano stati crittografati.
A farne le spese sono 89 cittadini che risiedono nello Stato americano del New Hampshire e che hanno soggiornato all’interno della MacDowell, l’organizzazione non-profit famosa in tutto il mondo, che ha contribuito a far conoscere artisti di vario genere come poeti, architetti, registi e compositori.
I cittadini del New Hampshire non sono gli unici a doversi preoccupare della mancata crittazione dei documenti. Il numero totale delle persone interessate dal “data breach MacDowell” è sicuramente molto più alto e comprende anche cittadini di altri Stati. Aggiornerò il dato non appena mi verranno forniti ulteriori conferme in merito.
Ho contattato via e-mail la MacDowell, ma al momento della stesura dell’articolo non ho ricevuto né conferme, né smentite.
La cattiva gestione dei dati che ha colpito il MacDowell non è un caso isolato.
Un altro caso emblematico è quello della Shady Hill School a Coolidge Hill Cambridge nel Massachusetts dove 823 persone si sono viste notificare dall’istituto scolastico, per posta o via e-mail, il possibile furto dei propri dati presenti in un file di back-up non crittografato relativo a una versione Blackbaud utilizzata dalla scuola prima del 2012.
Lettera inviata dallo studio legale Wilson Elser di New York City al Procuratore generale del New HampshireMa ci sono altre istituzioni dove i dati personali erano all’interno di file non protetti
Scholarship America | 1958, Fall River, Massachusetts
Bridgewater State University | 131 Summer Street Bridgewater, MA
Poi ci sono delle ipotesi che rimangono tali in quanto, al momento, possono essere accompagnate solo da riscontri “quasi oggettivi”.
La Blackbaud sostiene che l’attacco Ransomware che ha portato prima al data breach e successivamente al pagamento del riscatto ha avuto inizio il 07 febbraio 2020.
Un’Università nello Stato americano dello Iowa il 02 luglio 2020, attraverso uno studio legale con sede proprio nella stessa città dove sorge l’Ateneo, ha notificato al Procuratore generale dello Stato del Maine un “generico” accesso non autorizzato a delle “informazioni personali che erano archiviate in un’unità di archiviazione cloud accessibile pubblicamente” (Personal information was stored in a cloud storage unit that was publically accessible).
L’accesso non autorizzato nei sistemi IT dell’Università, si legge nella notifica, è avvenuto a più riprese e le date che sono state indicate nel documento depositato presso gli uffici del Procuratore generale sono il 02 – 08 – 16 – 18 gennaio 2020. Inoltre nella notifica è stata registrata anche la data della scoperta del data breach ai sistemi IT, il 15 giugno 2020.
Il documento riporta anche quali dati sarebbero stati sottratti durante l’attacco informatico che ha interessato 312 persone, una di queste è residente nello Stato del Maine
- Numero di licenza della patente (Driver’s license number)
- Numero di conto finanziario o numero di carta di credito o di debito, in combinazione con il codice di sicurezza, il codice di accesso, la password o il PIN per l’account (Financial account number or credit or debit card number, in combination with the security code, access code, password, or PIN for the account)
- Numero di Social Security (Social Security Number)
Alle vittime non sono state offerte, si legge nel documento, servizi di protezione dal furto di identità.
Ma quale attinenza potrebbe avere questo caso con quello relativo al data breach Blakcbaud?
Nella stessa città dove è situata l’Università risiede D. S. il quale ha ricoperto per due anni la carica di direttore delle comunicazioni Web per l’Ateneo e che dal 2010 ricopre alla Blackbaud il ruolo di Business Analyst, Principal.
Ho contattato via e-mail l’Università e lo studio legale, ma al momento della stesura dell’articolo non ho ricevuto né conferme, né smentite.
Altra ipotesi
Lo scorso 13 aprile un College nello Stato americano dell’Ohio ha notificato al Procuratore generale dello Stato del Maine, attraverso uno studio legale di Detroit, un attacco informatico di tipo Ransomware. La data di inizio dell’intrusione ai sistemi IT notificata agli uffici del tribunale riporta la data del 13 gennaio 2020, la data della scoperta quella del 06 marzo.
Un furto di dati che ha coinvolto 12244 persone e potrebbe aver riguardato (come dichiarato nella denuncia) anche le Social Security Number. Alle vittime sono state offerte, si legge nel documento, servizi di protezione dal furto di identità e servizi gratuiti di monitoraggio del credito per 12 mesi.
Anche in questo caso, come in quello che ha visto coinvolta l’Università nello Stato dello Iowa, il collegamento con la Blackbaud arriva attraverso una persona che lavora e una che ha lavorato per la società di cloud computing e che in passato hanno avuto legami con il College nell’Ohio.
Si tratta di un Supervisor, Production Operations e di un ex Director, Operations Engineering della Blackbaud. Entrambi hanno studiato al College vittima dell’attacco Ransomware dello scorso gennaio.
Ho contattato via e-mail il College e lo studio legale, ma al momento della stesura dell’articolo non ho ricevuto né conferme, né smentite.
Termino questa prima parte dedicata al “Blackbaud data breach” con una , molto-molto ristretta, di Fondazioni non-profit (anche non situate negli Stati Uniti) che durante l’attacco Ransomware potrebbero avere avuto esfiltrati dati molto più sensibili di quelli che inizialmente aveva ipotizzato, sperato, la Blackbaud.
Tutti i dati presenti nell’articolo sono stati raccolti da pagine internet di pubblico dominio.