Das University College in Oxford gehört zu den mehr als 20 vom Cyber-Angriff betroffenen Colleges
Mehr als 20 Universitäten und Wohltätigkeitsorganisationen in Großbritannien, den USA und Kanada haben bestätigt, dass sie Opfer eines Cyberangriffs sind, der einen Softwarelieferanten kompromittiert hat.
Blackbaud wurde im Mai von Hackern als Lösegeld gehalten und zahlte Cyberkriminellen ein nicht bekannt gegebenes Lösegeld.
Das in den USA ansässige Unternehmen ist der weltweit größte Anbieter von Software für Bildungsverwaltung, Fundraising und Finanzmanagement.
Blackbaud enthüllt nicht das Ausmaß des Verstoßes.
Dutzende weitere Wohltätigkeitsorganisationen und Bildungseinrichtungen sind möglicherweise betroffen.
Das Cloud-Service-Unternehmen wird kritisiert, nachdem es Wochen gebraucht hat, um die Opfer vor dem Diebstahl von Daten zu warnen.
In einigen Fällen beschränkten sich die persönlichen Daten auf diejenigen ehemaliger Studenten, die gebeten worden waren, die Einrichtungen, an denen sie ihren Abschluss gemacht hatten, finanziell zu unterstützen. In anderen Fällen wurde es jedoch auf Mitarbeiter, bestehende Studenten und andere Unterstützer ausgedehnt.
Die von der BBC bestätigten Institutionen sind betroffen:
- Universität von Strathclyde
- Universität von Exeter
- Universität von York
- Oxford Brookes Universität
- Loughborough Universität
- Universität von Leeds
- Universität von London
- Universität von Reading
- University College, Oxford
- Middlebury College, Vermont
- West Virginia University
- Neues College von Florida
- Cheverus High School: Katholische High School Portland
- Die Bishop Strachan School, Kanada
- Universität von Nordflorida
- Ambrose University, Alberta, Kanada
- Rhode Island School of Design, USA
Andere Organisationen, einschließlich Wohltätigkeitsorganisationen, die als betroffen bestätigt wurden, sind:
- Chor ohne Namen
- Vermont Foodbank
- Vermont Public Radio
- Northwest Immigrant Rights Project
- Human Rights Watch
- Junge Köpfe
Alle Institutionen senden Briefe und E-Mails, in denen sie sich bei den kompromittierten Datenbanken entschuldigen.
Bildrechte
Getty Images
Die University of York ist einer der Betroffenen
In einigen Fällen enthielten die gestohlenen Daten Telefonnummern, Spendenhistorie und besuchte Veranstaltungen. Kreditkarten- und andere Zahlungsdetails scheinen nicht offengelegt worden zu sein.
Blackbaud, dessen Hauptsitz sich in South Carolina befindet, besteht darauf, dass "die Mehrheit unserer Kunden nicht an diesem Vorfall beteiligt war".
Sie verwies die BBC auf eine Erklärung auf ihrer Website: "Im Mai 2020 haben wir einen Ransomware-Angriff entdeckt und gestoppt. Bevor wir den Cyberkriminellen aussperrten, entfernte der Cyberkriminelle eine Kopie einer Teilmenge von Daten von uns -hosted Umgebung. "
Bezahlt die Hacker
In der Erklärung heißt es weiter, Blackbaud habe die Lösegeldforderung bezahlt. Dies ist nicht illegal, widerspricht jedoch dem Rat zahlreicher Strafverfolgungsbehörden, darunter FBI, NCA und Europol.
Blackbaud sagte, nachdem die Hacker bezahlt worden waren, hätten sie "bestätigt, dass die Kopie (der Daten), die sie entfernt hatten, zerstört worden war".
"Es ist besorgniserregend, dass der Lieferant das Lösegeld gezahlt hat, da dies möglicherweise zukünftige Angriffe fördert und die Tatsache, dass Daten kompromittiert wurden, nicht überwindet. Dies zeigt den Multiplikatoreffekt von Supply-Chain-Hacks und verstärkt den Rat, dass Sicherheit ein Muss sein muss." Zusammenarbeit ", sagte Cath Goulding, Chief Information Security Officer bei der Cyber-Sicherheitsfirma Nominet.
Bildrechte
Getty Images
Die Oxford Brookes University gehört zu denjenigen, die sich wegen des Hacks mit Studenten in Verbindung setzen
Es ist unklar, wie viele Personen benachrichtigt wurden, aber einige betroffene Alumni und Studenten haben in den sozialen Medien und gegenüber der BBC Bedenken geäußert, dass sie sich jetzt Sorgen darüber machen, dass die Cyberkriminellen ihrem Wort treu bleiben.
Datenschutzrecht
Es werden Fragen gestellt, warum Blackbaud Wochen gebraucht hat, um seine Kunden über den Hack zu informieren.
Gemäß der Allgemeinen Datenschutzverordnung (DSGVO) müssen Unternehmen den Datenschutzbehörden innerhalb von 72 Stunden nach Kenntnisnahme eines Vorfalls einen erheblichen Verstoß melden – oder mit potenziellen Bußgeldern rechnen.
Das britische Information Commissioner's Office (ICO) sowie die kanadischen Datenbehörden wurden am vergangenen Wochenende über den Verstoß informiert – Wochen nachdem Blackbaud den Hack entdeckt hatte.
In der Mitteilung an die Studenten sagte die West Virginia University Foundation, sie arbeite "mit Blackbaud zusammen, um zu verstehen, warum es eine Verzögerung zwischen der Feststellung des Verstoßes und der Benachrichtigung gab und welche Maßnahmen Blackbaud zur Erhöhung seiner Sicherheit ergreift".
Blackbaud hat nicht gesagt, welche Produkte oder Dienstleistungen angegriffen wurden, aber eine Universität wies auf ein Online-Tool namens Raiser's Edge NXT hin, das Aufzeichnungen verwaltet und das Engagement von Spendern, Alumni und Mitarbeitern verfolgt.