Công ty phần mềm phải trả 3 triệu USD vì tiết lộ sai lệch về tấn công ransomware

An toàn thông tin - Ngày đăng : 07:15, 11/03/2023

Ủy ban Chứng khoán và Giao dịch (SEC) Hoa Kỳ vừa tiết lộ công ty phần mềm Blackbaud Inc đã đồng ý trả 3 triệu USD cho việc đã tiết lộ sai lệch về cuộc tấn công bằng mã độc tống tiền (ransomware) vào năm 2020 làm ảnh hưởng đến hơn 13.000 khách hàng.
An toàn thông tin

Công ty phần mềm phải trả 3 triệu USD vì tiết lộ sai lệch về tấn công ransomware

Hồng Ngọc 11/03/2023 07:15

Ủy ban Chứng khoán và Giao dịch (SEC) Hoa Kỳ vừa tiết lộ công ty phần mềm Blackbaud Inc đã đồng ý trả 3 triệu USD cho việc đã tiết lộ sai lệch về cuộc tấn công bằng mã độc tống tiền (ransomware) vào năm 2020 làm ảnh hưởng đến hơn 13.000 khách hàng.

blackbaud-to-pay-3-mln-for-misleading-disclosures-on-ransomware-attack-sec-960x572.jpeg

Vào tháng 7/2020, SEC cho biết nhà cung cấp phần mềm quản lý dữ liệu nhà tài trợ có trụ sở tại Nam Carolina này đã tiết lộ một kẻ tấn công mã độc tống tiền và cho biết kẻ đó đã không truy cập được vào thông tin tài khoản ngân hàng hay số an sinh xã hội của các nhà tài trợ.

SEC đồng thời cũng tiết lộ thêm: “Trong vòng vài ngày” kể từ khi những tiết lộ được công bố, một số nhân viên của công ty đã biết được kẻ tấn công đã truy cập và lấy các thông tin đó, nhưng các nhân viên này đã không nói với các nhà quản lý cấp cao chịu trách nhiệm về việc công bố công khai vì công ty này đã không đảm bảo các quy trình và kiểm soát tiết lộ thông tin.

Vào tháng 8/2020, SEC tiết lộ Blackbaud đã nộp một báo cáo hàng quý cho cơ quan này trong đó bỏ qua thông tin quan trọng về phạm vi của cuộc tấn công.

Đại diện của Blackbaud, dù không thừa nhận hay phủ nhận những phát hiện của SEC nhưng cũng chưa trả lời ngay lập tức theo yêu cầu.

Cơ quan quản lý này đã thúc đẩy các công ty đại chúng và các tổ chức niêm yết tiết lộ kịp thời và cụ thể hơn về các cuộc tấn công mạng.

SEC công bố sẽ tập trung nhiều nỗ lực hơn vào tuần tới để kiểm soát cách thức các đại lý môi giới và những cơ quan khác giải quyết nguy cơ bị tấn công và ứng phó với hành vi trộm cắp dữ liệu khách hàng, tiếp tục thúc đẩy quy định về an ninh mạng trong lĩnh vực tài chính./.

Hồng Ngọc