Cybercriminelen hebben Blackbaud aangevallen, een bedrijf dat cloud- en administratiediensten levert aan universiteiten en stichtingen. Blackbaud wist de aanval te stoppen, maar betaalde losgeld om te voorkomen dat de criminelen gestolen data naar buiten zouden brengen.

De aanval dateert van mei 2020, maar Blackbaud wilde nooit erkennen van welke partijen de data was gestolen. De BBC schrijft nu dat het om minimaal tien universiteiten gaat in het Verenigd Koninkrijk, de Verenigde Staten en Canada en om twee stichtingen, waaronder Human Rights Watch. In het geval van sommige universiteiten is er alleen data gelekt van voormalige studenten. Bij andere universiteiten is er ook data buitgemaakt van huidige studenten, medewerkers en anderen.

Volgens Blackbaud hadden de hackers geen toegang tot creditcardinformatie, bankaccountinformatie of bsn-achtige nummers. De BBC zegt wel dat 'in bepaalde gevallen' telefoonnummers, donatiegeschiedenis en informatie over bijgewoonde evenementen is gestolen.

De Britse publieke omroep schrijft dat Blackbaud pas afgelopen weekend het Britse Information Commissioner's Office inlichtte. ICO is het Britse equivalent van de Autoriteit Persoonsgegevens, volgens de GDPR moeten bedrijven binnen 72 uur ICO inlichten als er persoonlijke data is gestolen of gelekt. Blackbaud deed dit pas zes weken later. Mogelijk staat Blackbaud nu een boete te wachten.

Human Rights Watch zegt dat zij donderdag 16 juli werden ingelicht over de ransomeware-aanval. Volgens de stichting is informatie van donateurs en mogelijke, eventuele donateurs gestolen. De stichting zegt te stoppen met het gebruik van Blackbaud-diensten om creditcard- en donateursinformatie te verwerken. Partijen waarvan de informatie is gestolen, zijn ingelicht door de stichting.

Bij de University of York gaat het om data als naam, geslacht, geboortedatum en studentnummer. Adressen en contactinformatie als telefoonnummer, e-mailadres en LinkedIn-url's zijn eveneens gestolen. Meer persoonlijke informatie als hobby's en interesses die studenten bij bijvoorbeeld enquêtes hebben ingevuld, zijn ook buitgemaakt, net als waar ze werken, wie hun baas is en wat voor activiteiten en studies ze bij de universiteit hebben gevolgd.

Tijdens de aanval van afgelopen mei probeerden criminelen met ransomeware de computersystemen van Blackbaud te versleutelen. Het bedrijf wist dit te voorkomen, maar voordat de aanvallers buitengesloten konden worden, wisten ze een deel van de data die op een door Blackbaud zelf gehoste server staat te kopiëren.

Om te voorkomen dat de criminelen de data zouden uitlekken, betaalde Blackbaud een onbekend bedrag aan losgeld. Daarna zou het bedrijf bevestiging hebben gekregen dat de bestanden zijn verwijderd. Om wat voor bevestiging het gaat, schrijft Blackbaud niet. Het bedrijf wil niet aangeven van welke instanties data is gestolen, om 'de privacy van deze partijen te kunnen waarborgen'.