Blackbaud

UPDATE (5) del 31.07.2021 Blackbaud Data Breach: University / College / K-12 (Terza Parte)

UPDATE (5) del 31.07.2021 (June / July 2021)
Numero totale di persone coinvolte 7.984.697 (+5.907)
Nell’aggiornamento del 31.07.2021 vengono aggiunte 3 nuove Istituzioni colpite dal Blackbaud Data Breach. 

Alla data del 30.05 2021 il totale delle persone coinvolte nella perdita di dati personali era pari a 7.978.790. Nei mesi di giugno e luglio sono state identificate da SuspectFile 3 nuove istituzioni educative colpite dal Blackbaud data breach, portando il numero da 463 a 466.

Nuove Istituzioni (3)

2 K-12 

  • St. Mark’s School of Texas Dallas – Texas
  • Bryn Mawr School for Girls Baltimore – Maryland

1 High School

  • Archbishop Mitty High School San Jose – California

NB: nella tabella a fondo pagina, che elenca tutte le Istituzioni interessate nel data breach, sono state inserite le 3 nuove entità.



UPDATE (4) del 31.05.2021
Numero totale di persone coinvolte 7.978.790 (+3.569)
Nell’aggiornamento del 31.05.2021 vengono aggiunte 2 nuove Istituzioni colpite dal Blackbaud Data Breach. Vengono inoltre aggiornati, con dati definitivi, 3 Istituzioni educative già segnalate da SuspectFile.

Alla data del 30.04 2021 il totale delle persone coinvolte nella perdita di dati personali era pari a 7.975.221. Nel mese di maggio sono state identificate da SuspectFile 2 nuove istituzioni educative colpite dal Blackbaud data breach, portando il numero da 461 a 463.

SuspectFile ha anche aggiornato i numeri parziali di 3 istituzioni già segnalate in precedenza.

Nuove Istituzioni (2)

2 K-12 

  • Friends School of Baltimore Baltimore – Maryland
  • The Boys’ Latin School of Maryland Baltimore – Maryland

Aggiornamento con i dati definitivi di 3 Istituzioni segnalate in precedenza da SuspectFile

  • Christendom College Front Royal – Virginia 5 1.062
  • Montana Technological University Foundation Butte – Montana 113 ➤ 228
  • Lutheran High School Association of Nassau & Suffolk Counties Glen Head – New York 2291 2.537

NB: nella tabella a fondo pagina, che elenca tutte le Istituzioni interessate nel data breach, sono state inserite le 2 nuove entità e le 3 aggiornate con i dati definitivi.

 




UPDATE (3) del 30.04.2021
Numero totale di persone coinvolte 7.975.221 (+66.641)
Nell’aggiornamento del 30.04.2021 vengono aggiunte 7 nuove Istituzioni colpite dal Blackbaud Data Breach. Vengono inoltre aggiornati, con dati definitivi, 3 Istituzioni educative già segnalate da SuspectFile.

Alla data del 31.03 2021 il totale delle persone coinvolte nella perdita di dati personali era pari a 7.908.580. Nel mese di aprile sono state identificate da SuspectFile 7 nuove istituzioni educative colpite dal Blackbaud data breach, portando il numero da 454 a 461.

SuspectFile ha anche aggiornato i numeri parziali di 3 istituzioni già segnalate in precedenza.

Nuove Istituzioni (7)

3 Università

  • Chapman University Orange – California
  • Westfield State University Westfield – Massachusetts
  • Montana Technological University Foundation Butte – Montana

3 College

  • Chadron State College Foundation Chadron – Nebraska
  • St. Johnsbury Academy St. Johnsbury – Vermont
  • Christendom College Front Royal – Virginia

1 K-12 

  • Seven Hills School Cincinnati – Ohio

Aggiornamento con i dati definitivi di 3 Istituzioni segnalate in precedenza da SuspectFile

  • Fort Hays State University Foundation Hays – Kansas  933 53.650
  • University of Wisconsin–Milwaukee Foundation Milwaukee – Wisconsin 1.362 ➤ 1.363
  • Santa Catalina School Monterey – California  0 1.333

NB: nella tabella a fondo pagina, che elenca tutte le Istituzioni interessate nel data breach, sono state inserite le 7 nuove entità e le 3 aggiornate con i dati definitivi.

Il prossimo aggiornamento verrà pubblicato a fine di maggio. 

 



UPDATE (2) del 31.03.2021
Numero totale di persone coinvolte 7.908.580 (+216.784)
Nell’aggiornamento del 31.03.2021 vengono aggiunte 17 nuove Istituzioni colpite dal Blackbaud Data Breach. Vengono inoltre aggiornati, con dati definitivi, 6 Istituzioni educative già segnalate da SuspectFile.

Alla data del 28.02 2021 il totale delle persone coinvolte nella perdita di dati personali era pari a 7.691.796. Nel mese di marzo sono state identificate da SuspectFile 17 nuove istituzioni educative colpite dal Blackbaud data breach. Al 31 marzo 2021 il nuovo numero sale da 437 a 454.

SuspectFile ha anche aggiornato i numeri parziali di 6 istituzioni già segnalate in precedenza, quest’ultimo aggiornamento ha incrementato notevolmente il numero totale delle persone coinvolte nel Blackbaud data brecah.

Nuove istituzioni (17)

13 K-12

  • Holderness School Holderness – New Hampshire
  • Washington International School di Washington – DC
  • La Jolla Country Day School La Jolla – California
  • Xavier High School di Middletown – Connecticut
  • Rumsey Hall School Washington Depot – Connecticut
  • Landmark Christian School Atlanta – Georgia
  • Le scuole Galloway Atlanta – Georgia
  • The Peck School Morristown – New Jersey
  • Stanley Clark School South Bend – Indiana
  • La Buckley School New York – New York
  • Millbrook School Millbrook – New York
  • Santa Catalina School Monterey – California
  • Maryknoll School Honolulu – Hawaii

2 Università

  • Norwich University Northfield – Vermont
  • Barry University Miami – Florida

2 College

  • Boston College High School di Boston – Massachusetts
  • Accademia di Sant’Agnese Houston – Texas

Aggiornamento con i dati definitivi di 6 Istituzioni già segnalate da SuspectFile

  • Università di Utrecht Utrecht – Paesi Bassi 6.000 ➤ 185.000
  • Norwood School Bethesda – Maryland 1 ➤ 827
  • Fondazione Hays della Fort Hays State University – Kansas 127 ➤ 796
  • Colgate Rochester Crozer Divinity School Rochester – New York 7 ➤ 1.152
  • Trinity Christian College Palos Heights – Illinois 2 ➤ 788
  • The Oakwood School Greenville – North Carolina 0 ➤ 2.330

NB: nella tabella a fondo pagina, che elenca tutte le Istituzioni interessate nel data breach, sono state inserite sia le 17 nuove entità, sia le 6 aggiornate con i dati definitivi.

Il prossimo aggiornamento verrà pubblicato a fine di aprile. 



UPDATE (1) del 28.02.2021
Numero totale di persone coinvolte 7.691.796 (+17.656)
Nell’aggiornamento del 28.02.2021 vengono aggiunte 18 nuove Istituzioni colpite dal Blackbaud Data Breach.

Alla data del 07.02.2021 il totale delle persone coinvolte nella perdita di dati personali erano state 7.674.140. Dopo le notifiche che SuspectFile ha raccolto, alla data del 28.02.2021 il numero delle persone interessato è incrementato di 17.656 unità portando il totale a 7.691.796, così come è incrementato il numero delle Istituzioni colpite che da 419 passa a 437.

Di seguito l’elenco delle entità che nelle ultime settimane hanno notificato ai Procuratori Generali dei rispettivi stati la perdita dei dati:

12 K-12

  • Norwood School Bethesda – Maryland
  • Scuola di San Luca a New Canaan – Connecticut
  • San Francisco University High School di San Francisco – California
  • Rutgers Preparatory School Somerset – New Jersey
  • St. Mary’s Episcopal Day School di Hartsdale – New York
  • La Leffell School Hartsdale – Long Island
  • Scuola media e superiore luterana Brookville – New York
  • Laurel School Shaker Heights – Ohio
  • The Oakwood School Greenville – Carolina del Nord
  • Scuola episcopale parrocchiale Dallas – Texas
  • Colgate Rochester Crozer Divinity School Rochester – New York
  • The Winsor School Boston – Massachusetts

3 Università

  • City University of New York New York City – New Yor
  • Kennesaw State University Kennesaw – Georgia
  • Fondazione Hays della Fort Hays State University – Kansas

3 College

  • Berwick Academy South Berwick
  • Trinity Christian College Palos Heights – Illinois
  • Vermont State Colleges Montpelier – Vermont

NB: nella tabella a fondo pagina, che elenca tutte le Istituzioni interessate nel data breach, sono state già inserite le 18 nuove entità.

Il prossimo aggiornamento verrà pubblicato a fine di marzo. 



Esattamente un anno fa, il 7 febbraio 2020, un gruppo di hacker era riuscito a introdursi all’interno dei sistemi informatici della Blackbaud sottraendo milioni di dati dai server della multinazionale americana, leader mondiale nel settore del cloud computing.
Dopo aver scritto in precedenza sul Blackbaud Data Breach che ha visto coinvolte le FONDAZIONI e le STRUTTURE OSPEDALIERE, in questa terza parte cercherò di spiegare, con i numeri, quali sono stati i danni subiti da Università, College e K-12. Per fare questo mi sono servito di dati che ho raccolto negli ultimi 6 mesi, e che ho inserito in una scheda disponibile alla fine di questo articolo.
Questi i numeri:
  • 419 è il numero (parziale) di Università/College/K-12  coinvolti nel Blackbaud Data Breach
  • 7.674.140 è il numero delle persone coinvolte
  • 172 le entità per le quali posso fornire il numero definitivo delle persone coinvolte
  • 87 le entità per le quali posso fornire il numero parziale delle persone coinvolte
  • 160 le entità per le quali non posso fornire i numeri delle persone coinvolte

Un lavoro molto lungo che ha richiesto molte settimane di ricerche all’interno dei vari siti istituzionali dei Procuratori Generali degli U.S. (ringrazio gli uffici del Procuratore Generale degli Stati dell’Indiana e del New Mexico per l’assistenza dimostrata), di quelli delle Università, College, K-12 e di incroci e verifiche con migliaia di dati.

Ringrazio tutte le Istituzioni dell’UK e dell’Irlanda per avermi trasmesso i dati richiesti. Ringrazio anche tutte le Istituzioni che, “appoggiandosi” su alcuni articoli presenti all’interno del “Freedom of Information Act 2000” o del “Freedom of Information (Scotland) Act 2002”, hanno deciso di non fornirmeli. Una scelta legittima e che rispetto, ma che non condivido: la trasparenza dovrebbe essere un caposaldo soprattutto quando si tratta di Istituzioni pubbliche.

Il 7 febbraio 2020, stando alle dichiarazioni ufficiali rilasciate dalla Blackbaud, un gruppo di hacker era riuscito a introdursi nei sistemi informatici della società e a sottrarre un sottoinsieme di dati da alcuni server. Il 20 maggio, quindi dopo oltre tre mesi durante i quali gli hacker hanno potuto agire indisturbati, il personale IT Blackbaud finalmente rilevava accessi non autorizzati all’interno della propria struttura informatica.

Il 16 luglio 2020 la Blackbaud pubblica sul proprio sito il primo comunicato. Nella prima dichiarazione, avvenuta dopo oltre due mesi dalla scoperta del furto di dati, la multinazionale rassicura i propri clienti affermado che nessun tipo di Personally Identifiable Information (PII) è stato interessato dal Data Breach.

Blackbaud
Primo comunicato Blackbaud del 16.07.2020

Dopo quattro giorni, all’interno di un forum di un’associazione nonprofit americana di professionisti IT dell’istruzione superiore, si registrano le prime forti critiche sull’operato della Blackbaud che riguardano soprattutto il tempo impiegato nel segnalare il Data Breach, ma anche le scarse informazioni fornite ai diretti interessati. Alla discussione aperta nel forum hanno partecipato decine fra Università e College americani.

La discussione è poi continuata privatamente, fuori dal forum pubblico. Di seguito alcuni screenshot.

UPDATE (5) del 31.07.2021 Blackbaud Data Breach: University / College / K-12 (Terza Parte) 1

UPDATE (5) del 31.07.2021 Blackbaud Data Breach: University / College / K-12 (Terza Parte) 2

UPDATE (5) del 31.07.2021 Blackbaud Data Breach: University / College / K-12 (Terza Parte) 3

Il 29 settembre la Blackbaud pubblica un secondo comunicato smentendo se stessa, dichiara che il furto dei dati dal sottoinsieme riguarda anche dati PII fra questi ci sono informazioni sui conti bancari, numeri di previdenza sociale, nomi utente e/o password.

UPDATE (5) del 31.07.2021 Blackbaud Data Breach: University / College / K-12 (Terza Parte) 4
Secondo comunicato Blackbaud del 29.09.2020

Dalle mie ricerche ho potuto accertare che per molte Università, College e K-12 il furto di dati ha interessato anche informazioni medico-sanitarie, numeri di passaporto, numeri delle patenti di guida e Tax ID number (TIN). Dalle ricerche è inoltre emerso che la Blackbaud, per alcune entità colpite, aveva conservato nei propri server vecchi backup.

La Cathedral Catholic High School di San Diego – California ha dichiarato che sui server della multinazionale americana erano presenti diversi backup con dati di tipo PII non crittografati vecchi di 15 anni. Alla Shady Hill School a Cambridge nel Massachusetts (823 persone interessate) i dati non crittografati, anche di tipo PII, erano conservati in un database precedente il 2012 e collegati a versioni obsolete dei software Blackbaud “Raiser’s Edge” e “Financial Edge” usate dalla scuola.

UPDATE (5) del 31.07.2021 Blackbaud Data Breach: University / College / K-12 (Terza Parte) 5

UPDATE (5) del 31.07.2021 Blackbaud Data Breach: University / College / K-12 (Terza Parte) 6

Per altre Università, come la St. Francis Catholic High School di Sacramento – California, la Delft University of Technology (60.000 persone coinvolte) e la Utrecht University (6.000 persone coinvolte) nei Paesi Bassi i backup risalivano al 2017.

In molti altri casi le Istituzioni non sapevano dell’esistenza di database contenenti informazioni sensibili non crittografate del proprio personale e dei propri studenti conservati dalla Blackbaud sui propri server. E’ il caso della Westminster School a Simsbury nel Connecticut, dove i dati di tipo PII di 802 persone venivano conservati sui server della multinazionale americana senza che la scuola ne fosse a conoscenza.

UPDATE (5) del 31.07.2021 Blackbaud Data Breach: University / College / K-12 (Terza Parte) 7

Altra Istituzione che non sapeva dell’esistenza di un database non crittografato con all’interno informazioni PII del proprio personale e dei propri studenti è la Avon Old Farms School ad Avon sempre nel Connecticut. In questo caso il numero delle persone coinvolte sono 2.804

UPDATE (5) del 31.07.2021 Blackbaud Data Breach: University / College / K-12 (Terza Parte) 8

La conservazione di dati altamente sensibili non crittografati all’interno di database obsoleti o peggio, la conservazione di dati non protetti all’insaputa dei diretti interessati, è proprio l’esatto contrario di una corretta gestione aziendale.

Oltre a questo possiamo registrare la pessima gestione da parte della Blackbaud riguardo la gestione, i modi e soprattutto i tempi di invio delle notifiche alle Istituzione colpite nel Data Breach. Un ritardo che ha costretto Università, College e Istituzioni K-12 degli U.S. a recapitare le notifiche al proprio personale, agli studenti e ai Procuratori Generali, in moltissimi casi soltanto durante queste ultime settimane.

Di seguito alcuni esempi eloquenti:

  • Bishop Moore Catholic High School  Orlando, Florida (5.981 persone coinvolte)

– notifiche inviate il 29.01.2021 (residenti nello Stato del Maine)

  • Landon School Bethesda, Maryland (4.612 persone coinvolte):

– notifiche inviate il 22.01.2021 (residenti negli Stati del Massachusetts, Maine, Vermont, New Hampshire)

  • The Archer School for Girls   Los Angeles, California (6.385 persone coinvolte)

– notifiche inviate il 13.01.2021 (residenti negli Stati del Maine, Indiana, New Hampshire, Vermont)

A distanza di un anno non sappiamo ancora quale sia il numero totale delle entità colpite e quale il numero totale delle persone alle quali sono stati esfiltrati i propri dati sensibili. La Blackbaud dopo il pagamento del riscatto chiesto dagli hacker non hai mai voluto rivelare il reale impatto che ha avuto sui propri clienti, così come non hai mai chiarito di quale gruppo Ransomware si trattasse.

Si sono fatte molte ipotesi sul nome, la mia convinzione è sempre stata quella che dietro questo attacco informatico ci fosse Maze, gruppo non più attivo da ormai qualche mese.

Riguardo ai numeri delle persone colpite sappiamo con certezza che, ad oggi, il dato parziale supera i 20 milioni. Non dimenticandoci di quelle colpite nelle strutture ospedaliere che sfiorano gli 11 milioni come ci aveva raccontato Dissent (@PogoWasRight) di DataBreaches.net e di quelle delle Fondazioni sulle quali non abbiamo dati certi.

Nella scheda più sotto ho raccolto i dati sensibili e il numero delle persone coinvolte in 419 Istituzioni educative colpite dal Blackbaud Data Breach, entità presenti negli U.S., Canada, Nuova Zelanda, UK, Irlanda, Paesi Bassi, Ungheria.