Nueva York – La fiscal general de Nueva York, Letitia James, y una coalición multiestatal de 50 fiscales generales han alcanzado un acuerdo de 49,5 millones de dólares con la empresa en la nube Blackbaud por una filtración masiva de datos que afectó a miles de organizaciones benéficas, universidades y organizaciones sanitarias de Nueva York y de todo el país, entre ellas alcanzado un acuerdo de 49,5 millones de dólares con Blackbaud, una empresa en la nube, por una filtración masiva de datos que afectó a miles de organizaciones sin ánimo de lucro, incluidas organizaciones benéficas, universidades y organizaciones sanitarias.Blackbaud proporciona software de gestión de datos de donantes y sufrió una filtración de datos en 2020 que expuso la información personal quedó expuesta. Como resultado del acuerdo de hoy, Blackbaud revisará sus prácticas de seguridad de datos y notificación de violaciones y ha acordado pagar 49,5 millones de dólares a los estados afectados, de los cuales Nueva York recibirá 2,9 millones de dólares.
Los neoyorquinos y todos los estadounidenses merecen saber que su información personal está a salvo y segura”, declaró la fiscal general James. Se suponía que Blackboard debía proteger la información personal de donantes y clientes de organizaciones sin ánimo de lucro, pero sus pésimas medidas de seguridad de los datos pusieron en peligro a todo el mundo. No hay excusa para que las empresas de la nube tengan medidas inadecuadas de seguridad de los datos. Ahora que las violaciones de datos son cada vez más frecuentes, mi oficina seguirá velando por que las empresas protejan sus redes de estos ataques.”
Blackbaud proporciona software a muchas organizaciones sin ánimo de lucro, incluidas organizaciones benéficas, instituciones de educación superior, escuelas K-12, organizaciones médicas, religiosas y culturales, etc. Los clientes de Blackbaud utilizan su software para conectar con los donantes y recopilar información demográfica, información de contacto, números de la Seguridad Social, La filtración de datos de 2020 expuso esta información altamente sensible y afectó a más de 13.000 organizaciones que eran clientes de Blackbaud, así como a millones de sus respectivos consumidores. Blackbaud pagó un rescate a los chantajistas y recibió pruebas de que los datos robados habían sido eliminados.
Miles de agencias de Nueva York se vieron afectadas por la filtración de datos de Blackbaud. La lista completa puede consultarse aquí.
El acuerdo de hoy resuelve las reclamaciones presentadas por el Fiscal General James y la Coalición de 50 Fiscales Generales de que Blackbaud violó las leyes estatales de protección de los consumidores, la Ley de Notificación de Infracciones y la HIPAA. Una investigación multiestatal descubrió que Blackbaud no aplicó medidas razonables de seguridad de los datos ni abordó los fallos de seguridad conocidos, lo que permitió el acceso no autorizado a la red de Blackbaud. Tras la violación, Blackbaud no proporcionó a sus clientes información completa y exacta sobre la violación en el momento oportuno, como exige la ley. Como resultado, las notificaciones a los consumidores cuya información personal se vio comprometida se retrasaron considerablemente o no se realizaron en absoluto, ya que Blackbaud restó importancia al incidente e indujo a los clientes a creer que no necesitaban ser notificados.
En el acuerdo, Blackbaud se comprometió a reforzar en el futuro sus prácticas de seguridad de datos y notificación de violaciones de la información:
Además del Fiscal General James, el acuerdo multiestatal de hoy incluye a Alabama, Alaska, Arizona, Arkansas, Colorado, Connecticut, Delaware, el Distrito de Columbia, Florida, Georgia, Hawai, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky y el Fiscal General de los Estados Unidos. Estados Unidos, Kentucky y el Fiscal General de Luisiana. Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New Mexico, North Carolina, North Dakota, Ohio, Oklahoma, Oregón, Pensilvania, Rhode Island, Carolina del Sur, Dakota del Sur, Tennessee, Texas, Utah, Vermont, Virginia, Washington, Virginia Occidental, Wisconsin y Wyoming.
El acuerdo alcanzado hoy continúa los esfuerzos de la fiscal general James por proteger la información personal de los neoyorquinos y responsabilizar a las empresas de las prácticas deficientes en materia de seguridad de los datos. En septiembre, la fiscal general James acordó con el Marymount Manhattan College invertir 3,5 millones de dólares para proteger los datos en línea de los estudiantes. El pasado mayo, la fiscal general James obtuvo 300.000 dólares de Sports Warehouse por no proteger los datos de 2,5 millones de clientes. También en mayo, la fiscal general James recuperó 550.000 dólares de una empresa de gestión sanitaria por no proteger los datos de los pacientes. En abril, el Fiscal General James publicó una guía completa de seguridad de datos para reforzar las prácticas de seguridad de datos de las empresas.2022 En diciembre, el Fiscal General James recuperó 200 000 dólares de Herff Jones, fabricante de gorras y togas para estudiantes, por no proteger los datos personales de los consumidores. Recuperó 1,9 millones de dólares En octubre de 2022, la fiscal general James anunció un acuerdo de 1,9 millones de dólares con los propietarios de SHEIN y Zoetop por no abordar adecuadamente una filtración de datos que expuso la información personal de millones de consumidores En junio de 2022, la fiscal general James anunció un acuerdo de 400.000 dólares de Wegmans Inc. y exigió que el minorista, cuya violación de datos expuso la información personal de los consumidores, mejorara la seguridad del almacenamiento de datos En marzo de 2022, el Fiscal General James emitió una advertencia a los consumidores a los clientes de T-Mobile recomendando que tomaran las medidas adecuadas para proteger su información personal después de una violación de datos Los datos de la compañía fueron robados a sus clientes a raíz de una violación de datos.
El caso fue llevado por el Director Adjunto de la oficina, Clark Russell, bajo la supervisión del Jefe de la oficina, Kim Berger, con la ayuda especial del Analista de Tecnología de Internet de la Oficina de Tecnología de Internet, Nishant Goswami. La Oficina de Tecnología de Internet forma parte de la División de Justicia Económica, dirigida por el Fiscal General Adjunto Chris D’Angelo y supervisada por la Fiscal General Adjunta Jennifer Levy.
