通知第三方网络安全数据泄露

背景

Blackbaud是该慈善机构的软件和云托管解决方案提供商，它使我们意识到以下事实：存储在Raisers Edge数据库中的某些数据可能已经遭到破坏。 他们报告说，他们已经停止了勒索软件攻击，但是在黑客窃取了该公司的数据之后，却支付了赎金。'的网络，并威胁要在线发布。 该事件发生在2020年5月，当时黑客违反了Blackbaud’的网络并尝试安装勒索软件，以将公司锁定在其数据和服务器之外。

应对成瘾反应

下面的信息与“上瘾行为”的第三方服务提供商发生的数据安全事件有关。我们认为它涉及英国和美国的多家医疗保健，教育和非营利组织，以及我们的慈善机构。 我们非常重视我们的数据保护责任，并且当Blackbaud得知此问题后，我们立即展开了自己的调查。

发生了什么？

7月16日，第三方服务提供商Blackbaud与我们联系。他们告知我们，他们已成为2020年5月勒索软件攻击的受害者。网络罪犯能够从许多客户中删除一部分数据的副本。其中包括成瘾行动的一个子集’的数据，即保存在名为的数据库中的慈善支持者的详细信息‘Raisers Edge’. 

我们使用此系统来记录与多年来为慈善机构筹款或进行过慈善捐赠的人的互动。  在对Raisers Edge上的信息进行了审查之后，我们感到满意的是，所保存的大多数数据对指定的个人或公司没有风险或风险很小。如果我们认为担心个人或公司的个人风险不低，我们将分享此违规行为的细节’那些人的系统。 

涉及什么信息

我们想向有关人员保证： 

 执法人员和第三方网络安全专家代表Blackbaud进行了详细的法证调查； 

Blackbaud已确认调查发现没有加密信息（例如银行帐户详细信息或密码）可访问； 

Blackbaud还确认没有信用卡信息构成数据盗窃的一部分。

网络犯罪分子访问的数据可能包含以下某些信息：

基本细节，例如姓名，职称，性别，出生日期；

地址和联系方式，例如电话，电子邮件；

个人记录’参与慈善活动和筹款活动，例如查询，活动参加，例如聚会，志愿服务，捐赠以及与我们的任何其他互动；

专业细节，例如人们工作的专业及其雇主；

有关支持者的信息’对我们的一项调查可能已经获得的兴趣 

所有银行和其他财务详细信息（如果已存档）均已加密，因此不会受到损害。

我们对这种情况正在做什么？

Blackbaud告知我们，为了保护数据并减轻潜在的身份盗用，他们遇到了网络犯罪分子’勒索软件需求。 Blackbaud已告知我们，它已支付了赎金，并收到了网络犯罪分子的保证，证明数据已被销毁。但是，尽管我们赞赏他们的保证，但我们还不足以孤立地接受他们，我们已经开展了自己的调查。 

我们已采取以下步骤：

We are reviewing the data held on 上升边缘. 预计大多数数据很可能会通过社交媒体或其他形式的公众查询归类为已公开提供给公众，因此被归类为低个人风险；

如果我们认为合适的话，我们会通知个人，以便他们知道这种违反Blackbaud的行为’的系统并可以保持警惕；  

我们已通知信息专员’违规办公室（ICO）及其建议是评估风险水平并采取相应措施，并始终遵守GDPR。 如果需要，我们将寻求他们的进一步指导；

我们正在与Blackbaud合作，以了解为什么他们之间在发现违规并通知我们之间会有一定的延迟，以及他们为提高安全性采取了哪些行动。

无需任何人认为自己的详细信息可能已受到损害，此时无需采取任何措施。作为最佳做法，我们建议人们保持警惕，并及时向适当的执法部门举报任何可疑活动或可疑身份盗窃。

如果有人想联系“成瘾行动”小组成员，请致电0300 330 0659与我们联系。

我们已采取的应对措施

我们将继续与Blackbaud合作调查此事，我们将继续征询数据保护官和信息专员的建议’办公室。对于Blackbaud的数据泄露可能造成的不便，我们深表歉意。请放心，我们非常重视数据保护，对于我们的支持者不断的支持和参与，我们深表感谢。