Le procureur général James et une coalition multiétatique obtiennent 49,5 millions de dollars de la part d'une société d'informatique en nuage pour violation de données

NEW YORK - La procureure générale de New York, Letitia James, et une coalition multiétatique de 50 procureurs généraux ont conclu un accord de 49,5 millions de dollars avec la société Blackbaud pour une violation massive de données qui a affecté des milliers d'institutions à but non lucratif, y compris des organisations caritatives, des collèges et des universités, et des organisations de soins de santé à New York et dans tout le pays. Blackbaud fournit un logiciel de gestion des données des donateurs et, en 2020, a subi une violation de données qui a exposé les informations personnelles de ses clients et de millions de leurs donateurs et électeurs. À la suite de l'accord conclu aujourd'hui, Blackbaud a accepté de revoir ses pratiques en matière de sécurité des données et de notification des violations et de verser 49,5 millions de dollars aux États concernés, dont 2,9 millions de dollars à l'État de New York.

"Les New-Yorkais, et tous les Américains, méritent de savoir que leurs informations personnelles sont sécurisées et protégées", a déclaré le procureur général James. "Blackbaud était censé protéger les informations privées détenues par les organisations à but non lucratif concernant leurs donateurs et leurs clients, mais au lieu de cela, ses mauvaises mesures de sécurité des données ont mis tout le monde en danger. Il n'y a pas d'excuse pour qu'une entreprise de cloud computing ait de mauvaises mesures de sécurité des données. Les violations de données devenant de plus en plus fréquentes, mon bureau continuera à veiller à ce que les entreprises protègent leurs réseaux contre ces attaques.

Blackbaud fournit des logiciels à diverses organisations à but non lucratif, notamment des organisations caritatives, des établissements d'enseignement supérieur, des écoles primaires et secondaires, ainsi que des organisations sanitaires, religieuses et culturelles. Les clients de Blackbaud utilisent ses logiciels pour entrer en contact avec les donateurs et gérer les données relatives à leurs électeurs, notamment les coordonnées et les informations démographiques, les numéros de sécurité sociale, les numéros de permis de conduire, les informations financières, les informations relatives à l'emploi et au patrimoine, l'historique des dons et les informations de santé protégées. Ce type d'informations très sensibles a été exposé lors de la violation de données de 2020, qui a touché plus de 13 000 institutions clientes de Blackbaud et des millions de leurs clients respectifs. Blackbaud a payé une rançon à l'auteur de la menace et a reçu la preuve que les données volées avaient été supprimées.

Des milliers d'institutions new-yorkaises ont été touchées par la violation de données de Blackbaud. Une liste complète est disponible ici.

L'accord conclu aujourd'hui répond aux allégations du procureur général James et de la coalition de 50 procureurs généraux selon lesquelles Blackbaud aurait violé les lois des États sur la protection des consommateurs, les lois sur la notification des violations et l'HIPAA. L'enquête multiétatique a révélé que Blackbaud n'avait pas mis en œuvre une sécurité raisonnable des données et n'avait pas corrigé les failles de sécurité connues, ce qui a permis à des personnes non autorisées d'accéder au réseau de Blackbaud. À la suite de la violation, Blackbaud a négligé de fournir à ses clients des informations opportunes, complètes et exactes concernant la violation, comme l'exige la loi. En conséquence, la notification aux consommateurs dont les informations personnelles ont été exposées a été considérablement retardée ou n'a jamais eu lieu, car Blackbaud a minimisé l'incident et a fait croire à ses clients qu'aucune notification n'était nécessaire.

Dans le cadre de ce règlement, Blackbaud a accepté de renforcer ses pratiques en matière de sécurité des données et de notification des violations à l'avenir, notamment :

• Cesser les fausses déclarations concernant le traitement, le stockage et la protection des informations personnelles ; la probabilité que les informations personnelles affectées par un incident de sécurité puissent faire l'objet d'une divulgation ultérieure ou d'une utilisation abusive ; et les exigences de notification des violations en vertu de la législation de l'État et de l'HIPAA.
• Mettre en œuvre et maintenir des plans d'intervention en cas d'incident ou de violation afin de se préparer et de répondre de manière plus appropriée aux futurs incidents et violations de sécurité.
• Mise à jour des dispositions relatives à la notification des violations qui exigent que Blackbaud fournisse une assistance appropriée à ses clients et les aide à se conformer aux exigences applicables en matière de notification en cas de violation.
• Améliorer la notification des incidents de sécurité au directeur général et au conseil d'administration, la formation des employés, ainsi que les ressources et le soutien appropriés en matière de cybersécurité.
• Appliquer des mesures de protection des informations personnelles et des contrôles exigeant un cryptage total des bases de données et une surveillance du dark web.
• Utiliser des exigences de sécurité spécifiques en ce qui concerne la segmentation du réseau, la gestion des correctifs, la détection des intrusions, les pare-feu, les contrôles d'accès, la journalisation et la surveillance, et les tests de pénétration.
• Mise en œuvre d'évaluations par des tiers de la conformité de Blackbaud avec le règlement pendant sept ans.

Les procureurs généraux de l'Alabama, de l'Alaska, de l'Arizona, de l'Arkansas, du Colorado, du Connecticut, du Delaware, du district de Columbia, de la Floride, de la Géorgie, de Hawaï, de l'Idaho, de l'Illinois, de l'Indiana, de l'Iowa, du Kansas, du Kentucky, de la Louisiane, du Maine, du Maryland, du Massachusetts, du Michigan se joignent à l'accord multiétatique d'aujourd'hui, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Jersey, Nouveau Mexique, Caroline du Nord, Dakota du Nord, Ohio, Oklahoma, Oregon, Pennsylvanie, Rhode Island, Caroline du Sud, Dakota du Sud, Tennessee, Texas, Utah, Vermont, Virginie, Washington, Virginie occidentale, Wisconsin et Wyoming.

L'accord conclu aujourd'hui s'inscrit dans la continuité des efforts déployés par le procureur général James pour protéger les informations personnelles des New-Yorkais et tenir les entreprises responsables de leurs mauvaises pratiques en matière de sécurité des données. En septembre, le procureur général James a conclu un accord avec le Marymount Manhattan College pour investir 3,5 millions de dollars dans la protection des données en ligne des étudiants. En mai dernier, le procureur général James a obtenu 300 000 dollars de Sports Warehouse pour ne pas avoir protégé les données de 2,5 millions de clients. Toujours en mai, le procureur général James a récupéré 550 000 dollars auprès d'une société de gestion médicale qui n'avait pas protégé les données de ses patients. En avril, le procureur général James a publié un guide complet sur la sécurité des données afin d'aider les entreprises à renforcer leurs pratiques en la matière. En décembre 2022, l'Attorney General James a obtenu 200 000 dollars de la part du producteur de casquettes et de blouses d'étudiants Herff Jones pour n'avoir pas protégé les informations personnelles des consommateurs. En octobre 2022, le procureur général James a annoncé un accord de 1,9 million de dollars avec le propriétaire de SHEIN et Zoetop pour n'avoir pas géré correctement une violation de données qui a compromis les informations personnelles de millions de consommateurs. En juin 2022, le procureur général James a obtenu 400 000 dollars de Wegmans et a exigé du détaillant qu'il améliore la sécurité du stockage des données après qu'une violation de données a exposé les informations personnelles des consommateurs. En mars 2022, le procureur général James a publié une alerte aux consommateurs conseillant aux clients de T-Mobile de prendre les mesures appropriées pour protéger leurs informations personnelles à la suite d'une violation de données.

Cette affaire a été traitée par le chef de bureau adjoint Clark Russell, avec l'assistance spéciale de l'analyste Internet et Technologie Nishaant Goswamy, du Bureau de l'Internet et de la Technologie, sous la supervision du chef de bureau Kim Berger. Le Bureau de l'internet et de la technologie fait partie de la Division de la justice économique, qui est dirigée par le procureur général adjoint Chris D'Angelo et supervisée par la première vice-procureure générale Jennifer Levy.