美国证券交易委员会 (SEC) 指控软件公司 Blackbaud 就 2020 年影响超过 13,000 名客户的勒索软件攻击做出误导性披露。 SEC 还表示,Blackbaud 已同意支付 300 万美元的和解金。
“美国证券交易委员会今天宣布,总部位于南卡罗来纳州、向非营利组织提供捐赠者数据管理软件的上市公司 Blackbaud Inc. 同意支付 300 万美元,以了结关于 2020 年勒索软件攻击的误导性披露的指控。影响了超过 13,000 名客户,”美国证券交易委员会在周四发布的新闻稿中表示。
据美国证券交易委员会称,2020 年 7 月,这家总部位于南卡罗来纳州的捐助者数据管理软件提供商披露了一个勒索软件攻击者,并表示攻击者没有访问过捐助者的银行账户信息或社会安全号码。然而,“然而,在这些声明发布后的几天内,公司的技术和客户关系人员了解到攻击者实际上已经访问并泄露了这些敏感信息。”
“美国证券交易委员会的命令发现,2020 年 7 月 16 日,Blackbaud 宣布勒索软件攻击者没有访问捐赠者银行账户信息或社会安全号码。然而,在这些声明发布后的几天内,该公司的技术和客户关系人员了解到攻击者实际上已经访问并泄露了这些敏感信息。这些员工没有将此信息传达给负责其公开披露的高级管理人员,因为公司未能维持披露控制和程序,“SE
由于这次失败,该公司于 2020 年 8 月向美国证券交易委员会提交了一份季度报告,其中省略了有关攻击范围的重要信息,并误导性地将攻击者获取此类敏感捐助者信息的风险描述为假设性的。
美国证券交易委员会执法部门加密资产和网络部门负责人大卫赫希说:“正如命令所发现的那样,Blackbaud 未能披露勒索软件攻击的全部影响,尽管其工作人员了解到其早些时候关于攻击的公开声明是错误的。” “上市公司有义务向投资者提供准确及时的重大信息; Blackbaud 没有这样做。”
“SEC 的命令认定 Blackbaud 违反了 1933 年证券法第 17(a)(2) 和 17(a)(3) 条以及 1934 年证券交易法第 13(a) 条和规则 12b-20、13a -13,以及其下的 13a-15(a)。在不承认或否认 SEC 调查结果的情况下,Blackbaud 同意停止并停止违反这些规定,并支付 300 万美元的民事罚款,”该机构补充道。
声明:本站原创文章文字版权归前途科技所有,转载务必注明作者和出处;本站转载文章仅仅代表原作者观点,不代表前途科技立场,图文版权归原作者所有。如有侵权,请联系我们删除。
