La compañía de software Blackbaud se ha comprometido a desembolsar la cuantía de 49,5 millones de dólares como compensación por una violación de datos ocurrida hace tres años.
El acuerdo se ha llevado a cabo con los fiscales generales de 49 estados de EE.UU. y Washington DC. Cada estado recibirá una parte de la suma total pactada.
Estos la habían demandado por por violar las leyes estatales de protección al consumidor, las leyes de notificación de incumplimiento y la Ley federal de Responsabilidad y Portabilidad del Seguro Médico (HIPAA).
Blackbaud fue acusada de no implementar medidas de seguridad de datos ni remediar brechas de seguridad básicas.
Además, los fiscales también indicaron que no había informado de manera rápida, completa o precisa a sus clientes sobre la violación, como lo exige la ley".
Estas fallas "retrasaron significativamente el proceso de notificación a aquellos cuya información personal se vio comprometida y, en algunos casos, no hubo ninguna notificación".
No es la primera compensación
La compañía presta servicios a ONGs y entidades sin ánimo de lucro, incluyendo organizaciones benéficas y agencias de atención médica.
En julio de 2020 un ataque de ransomware le impactó y supuso el robo de gran cantidad de información demográfica, números de Seguro Social, números de licencia de conducir, datos financieros, información laboral y patrimonial, historiales de donaciones e información de salud protegida por parte de los actores de amenazas.
En aquel momento Blackbaud aseguró que los atacantes de ransomware no habían obtenido acceso a la información de la cuenta bancaria de los donantes ni a los números de seguridad social, pero luego se demostró que esto era falso.
Más de 13.000 clientes comerciales de Blackbaud y millones de usuarios intermedios sufrieron el incidente.
El pasado 3 de marzo el fabricante de software ya había desembolsado 3 millones de dólares a la SEC (Comisión de Bolsa y Valores) de EE.UU. por el incidente.