Blackbaud: Bankdaten und Passwörter sind bei riesigen Wohltätigkeitsorganisationen gefährdet

Bankkontoinformationen und Benutzerkennwörter gehören zu den Details, von denen Hacker befürchten, dass sie bei einer Sicherheitsverletzung bei einem Dienst gestohlen wurden, mit dem Spenden von Millionen von Menschen gesammelt werden.

Viele britische Universitäten und Wohltätigkeitsorganisationen sowie Hunderte anderer Organisationen weltweit verwenden die betreffende Software.

Sein Entwickler Blackbaud

machte die Aufnahme in eine behördliche Einreichung.

Die Firma sagte zuvor, der Diebstahl sei auf andere personenbezogene Daten beschränkt gewesen – jedoch nicht auf Zahlungsdetails.

Es fügte hinzu, dass es betroffene Kunden kontaktierte. Sie müssen wiederum Follow-up-Benachrichtigungen an mindestens einige der Spender senden, die sie bereits wegen des Vorfalls kontaktiert hatten.

"Wir haben die kleine Gruppe von Blackbaud-Kunden informiert, die an dieser Entwicklung beteiligt waren", sagte das Unternehmen gegenüber der BBC.

"Wir entschuldigen uns dafür und werden weiterhin unser Bestes geben, um Hilfe und Unterstützung zu leisten, während wir und unsere Kunden gemeinsam diesen Vorfall mit Cyberkriminalität steuern."

Die BBC hat erfahren, dass einige der Organisationen, von denen angenommen wird, dass sie von der neuesten Entwicklung betroffen sind, Folgendes umfassen:

"Wir sind uns bewusst, dass möglicherweise aufgrund des Datenverstoßes auf einige Finanzdaten zugegriffen wurde, und arbeiten mit Blackbaud zusammen, um festzustellen, ob dies uns betrifft", sagte ein Sprecher des National Trust.

Millionen von Menschen weltweit wurden gewarnt, dass sie in den ursprünglichen Warnungen über den Angriff in den letzten Monaten betroffen sein könnten.

Eine Sprecherin des Büros des Informationskommissars sagte gegenüber der BBC: "Unsere Untersuchung ist noch nicht abgeschlossen und wir werden weitere Untersuchungen zu den neuesten Entwicklungen durchführen."

Das ICO gab an, von 166 britischen Organisationen zu wissen, die von der Sicherheitsverletzung betroffen waren.

Dazu gehören Dutzende von Universitäten sowie Wohltätigkeitsorganisationen, Schulen und Trusts im Gesundheitsbereich, die für die Pflege historischer Gebäude eingerichtet wurden.

Zu den betroffenen internationalen Kunden gehörten auch Krankenhäuser, Menschenrechtsorganisationen, gemeinnützige Radiosender und Lebensmittelbanken.

Blackbaud aus South Carolina sagte, dass die neuen Erkenntnisse nicht für alle vom Hack betroffenen Kunden gelten, räumte jedoch ein, dass in einigen Fällen die betreffenden Zahlungsinformationen nicht wie erwartet digital verschlüsselt wurden.

"Weitere forensische Untersuchungen ergaben, dass der Cyberkriminelle für einige der gemeldeten Kunden möglicherweise auf einige unverschlüsselte Felder zugegriffen hat, die für Bankkontoinformationen, Sozialversicherungsnummern, Benutzernamen und / oder Passwörter bestimmt sind", heißt es in der Einreichung.

"In den meisten Fällen waren Felder für vertrauliche Informationen verschlüsselt und nicht zugänglich."

Ein aktualisierter Sicherheitshinweis auf der Website des Unternehmens wurde hinzugefügt dass die Firma nicht glaubte, dass Kreditkartendaten enthüllt worden waren.

Ein Cyber-Sicherheitsexperte sagte, es sei wichtig, dass betroffene Spender so schnell wie möglich informiert werden.

"Es ist einfach nicht akzeptabel, Finanzdaten und Passwörter unverschlüsselt zu speichern", sagte Prof. Alan Woodward von der University of Surrey.

"Diese jüngste Entdeckung bedeutet, dass sich ihre Kunden zwar auf ihre ersten Aussagen verlassen haben, um den Menschen zu versichern, dass Bankinformationen nicht betroffen sind, dies nun jedoch möglicherweise rückgängig gemacht werden muss."

Der Hack fand im Mai statt und wurde erstmals im Juli der Öffentlichkeit bekannt gegeben.

Zu der Zeit sagte Blackbaud, es habe den Angreifern ein Lösegeld gezahlt und geglaubt, die Diebe hätten die gestohlenen Daten anschließend zerstört.

Unter solchen Umständen ein Lösegeld zu zahlen ist nicht illegal, widerspricht jedoch dem Rat zahlreicher Strafverfolgungsbehörden, darunter FBI, NCA und Europol.

Eine Website für Bankensicherheitsnachrichten berichtete letzte Woche, dass Blackbaud steht in den USA mindestens 10 Klagen in dieser Angelegenheit gegenüber.