圖中為Blackbaud公司總部(網絡截圖)。
全球最大的教育管理、籌款和財務管理軟體供應商Blackbaud於今年5月份遭到駭客襲擊,包括英國、加、美在內的全球九所大學及人權觀察網站的部分數據失竊,在Blackbaud公司為駭客提供贖金後,據稱駭客已經銷毀了相關數據。
據雅虎網站報導,總部在南卡羅來納州的電子云公司Blackbaud表示,該公司遭到駭客盜竊的數據包括這些機構的一些用戶的電話號碼及捐款記錄,但是駭客沒有獲取相關人員的信用卡信息、銀行帳號信息或社會安全號碼。
隨後英國的約克大學(University of York)、牛津布魯克斯大學(Oxford Brookes University)、羅浮堡大學(Loughborough University)、倫敦大學(University of London)、利茲大學(University of Leeds)、雷丁大學(University of Reading)、牛津大學大學學院(University College, Oxford)等七所大學證實他們在Blackbaud電子云上的數據失竊,並隨後因此向本校的學生、教工和捐款人致歉。報導表示,駭客盜竊了某些大學中校友捐贈的信息;但是在另外一些襲擊中失竊數據還包括該學校教工、學生和其他捐贈者信息。
報導表示,加拿大的安布羅斯大學(Ambrose University)和美國的羅得島設計學院(Rhode Island School of Design)、非政府組織人權觀察(Human Rights Watch)及兒童精神健康慈善機構「年輕心靈(Young Minds)」等大學和機構存儲在該電子云上的信息也失竊。
BlackBaud公司在其網站發表聲明稱,「本公司於2020年5月發現並阻止了一起勒索軟體襲擊,在我們將這些犯罪分子趕出我們的網絡之前,他們已經從我們系統中獲取了一部分數據副本。」該公司表示他們為駭客提供了贖金,駭客隨後證實他們銷毀了那些數據。
報導表示,雖然為駭客提供贖金並不非法,但是包括美國聯邦調查局(FBI)、英國國家刑事局(NCA)和歐洲刑警組織(Europol)等執法機構都反對給兇犯支付贖金。
針對Blackbaud公司的這種駭客不會濫用失竊數據的說法,雷丁大學校友、網絡安全專家摩根(Rhys Morgan)表示質疑,他說:「他們怎麼知道駭客會拿這些數據做什麼呢?」
Blackbaud在其網上證實,「該公司的大多數客戶未受到影響」,並列舉未受到影響的大機構包括:倫敦大學學院(University College London)、貝爾法斯特女王大學(Queen's University Belfast)、西蘇格蘭大學(University of the West of Scotland)、伊斯蘭救濟組織(Islamic Relief)、乳腺癌預防組織(Prevent Breast Cancer),表示這些機構在其電子云上存儲的數據都未受到影響。
Blackbaud公司還表示,其在與執法部門和第三方調查人員一起監控這些數據是否在黑網上流傳或出售。
根據歐盟的《通用數據保護條例》(GDPR),遭到大規模駭客襲擊的公司在案發72個小時內就需要將案件報告給數據保護局,否則或可能會遭到處罰。而英國的資訊專員辦公室(Information Commissioner's Office)和加拿大的數據保護局都是上周末才得到的信息
英國資訊專員辦公室的一位女發言人說:「Blackbaud公司已經向我們報告了涉及到多個數據控制機構的數據失竊的案件,我們將對Blackbaud公司和相關的數據控制機構進行查詢。」該辦公室鼓勵所有受到影響的監管機構自行評估並決定是否需要對他們單獨報告此案。
利茲大學則在一份聲明中表示:「我們想向校友保證,自從我們了解到此案後,我們一直在不懈地對此案進行調查,以準確的通知所有受到影響的個人。目前我們的校友群仍無需採取任何行動,但是我們正如我們一直所說的,我們仍然敦促大家保持警惕。」
人權觀察組織則於7月22日發表聲明表示,他們於7月16日得到他們的數據遭到駭客襲擊,部分捐贈者和有意捐款者的信息失竊的消息。人權觀察組織立刻就此展開了調查,並於7月22日給該資料庫中所有有效網址的用戶發送信息,告知了他們此案。該組織還承諾,儘快通知信息失竊的人員相關消息。
人權觀察組織還表示,該組織非常重視數據安全,因此對此事非常遺憾,為了防止這種情況再次發生,該組織已經不再使用Blackbaud電子云處理新的信用卡或捐贈者信息。