Accueil Avis d’atteinte à la protection des données de Blackbaud

Avis d’atteinte à la protection des données de Blackbaud

Blackbaud, notre fournisseur de logiciel de collecte de fonds, nous a récemment informés que l’entreprise avait subi une atteinte à la protection des données ayant touché bon nombre de ses clients partout dans le monde et que Banques alimentaires Canada était du nombre. Malheureusement, cette atteinte touche les renseignements personnels de certains de nos intervenants.

Même si cette atteinte n’implique pas nos systèmes, nous accordons une grande importance à la protection de tous les renseignements personnels et à leur utilisation appropriée. Par conséquent, nous faisons de leur sécurisation notre priorité, peu importe où ils sont hébergés.

Situation
Le 16 juillet, Blackbaud a avisé Banques alimentaires Canada qu’elle avait subi une atteinte à la protection des données. L’entreprise a déclaré avoir été victime d’une attaque par rançongiciel sophistiquée. Après avoir découvert l’attaque, l’équipe de cybersécurité de Blackbaud, de concert avec des experts judiciaires indépendants et les autorités policières, a réussi à maintenir l’accessibilité au système, à éviter que le cybercriminel chiffre entièrement les fichiers et à expulser ce dernier. Malgré tous ces efforts, le cybercriminel a récupéré un fichier de sauvegarde du système de Blackbaud, lequel contenait certains renseignements personnels de nos intervenants. Cette attaque est survenue entre le 7 février 2020 et le 20 mai 2020.

Même si nous comprenons que cette atteinte touche des organismes partout dans le monde, la présente ne concerne que Banques alimentaires Canada. Nous vous invitons à vous rendre à l’adresse https://www.blackbaud.com/securityincident en savoir plus sur cette atteinte.

Renseignements en cause
Il est possible que le fichier de sauvegarde du système de Blackbaud ait inclus des renseignements personnels sur les intervenants, y compris un sous-ensemble de nos donateurs et d’autres personnes ayant eu des interactions avec Banques alimentaires Canada.  Ces renseignements personnels peuvent comprendre les noms, les adresses, les adresses de courriel, les numéros de téléphone et les historiques de dons (y compris le montant, le mode de paiement, le type de carte et la région visée par le don, le cas échéant). Aucune carte de crédit ni aucune information bancaire n’a été compromise, sauf le mode de paiement (p. ex., carte de crédit ou chèque) et le type de carte (p. ex., Visa, Mastercard ou American Express) utilisés pour faire le don à Banques alimentaires Canada. C’est donc à dire qu’aucun numéro de carte de crédit, aucune date d’expiration de carte de crédit, aucun code de sécurité de carte de crédit, ni aucun numéro de compte bancaire n’a été compromis.

À la suite de son enquête, Blackbaud a versé la rançon au cybercriminel, mais seulement après avoir reçu de ce dernier une confirmation crédible de la destruction de la copie du fichier de sauvegarde.

Compte tenu de la nature de l’attaque, des recherches réalisées et de l’enquête menée par des experts indépendants et les autorités policières, tout porte à croire que les données n’ont pas été ou ne seront pas utilisées à mauvais escient et qu’elles ne seront pas diffusées ni autrement rendues publiques. Blackbaud a également mandaté des experts externes pour surveiller le Web qui n’ont trouvé aucun signe de diffusion des données.

Mesures prises
Nous accordons une grande importance à la protection des renseignements personnels et à leur utilisation appropriée. Par conséquent, nous faisons de leur sécurisation notre priorité.

Par excès de prudence, nous affichons cette information sur notre site Web pour bien informer tous nos intervenants de la situation.

Nous avons envoyé des courriels ou des lettres aux personnes susceptibles d’être touchées par cette situation et pour lesquelles nous avions les coordonnées à jour.

Lors d’une rencontre avec Blackbaud, l’entreprise nous a confirmé qu’elle avait identifié la vulnérabilité associée à cette situation, y compris les tactiques appliquées par le cybercriminel, et qu’elle avait apporté les correctifs nécessaires.  Elle nous a également déclaré avoir soumis ces correctifs à des tests indépendants, y compris par les fournisseurs de plateforme appropriés, tests qui ont révélé que les correctifs résistaient à toutes les tactiques d’attaque connues. De plus, l’entreprise nous a dit qu’elle accélérait ses efforts de renforcement informatique en améliorant la gestion des accès et la segmentation du réseau et en déployant d’autres plateformes de réseau et de points terminaux. Nous travaillerons de près avec Blackbaud pour comprendre ces mesures de sécurité accrues.  Comme nous le mentionnons plus haut, Blackbaud a collaboré avec les autorités policières dans le cadre de leur enquête.

Ce que vous pouvez faire
Comme toujours, faites preuve de vigilance lorsque vous recevez des courriels non sollicités. Nous tenons à souligner que nous ne communiquerons jamais avec vous pour vous demander vos authentifiants (nom d’utilisateur ou mot de passe). De plus, vous devriez signaler toute activité suspecte aux organisations et aux autorités locales appropriées.

Si vous avez des doutes quant à la validité d’une communication de Banques alimentaires Canada, nous vous invitons à vérifier nos coordonnées sur notre site Web, à foodbankscanada.ca, et à nous contacter pour confirmer une telle communication.

Voici quelques autres ressources qui pourraient vous être utiles :
Pour en savoir plus
Nous regrettons sincèrement tout inconvénient que cette situation pourrait vous causer.

Si vous avez des questions ou des préoccupations à ce sujet, vous pouvez nous téléphoner au 1 833 683-5857, du lundi au vendredi, de 9 h à 17 h, HE.

Cordialement,
Chris Hatch
Chef de la direction
Banques alimentaires Canada
 
Deborah O’Bray
Présidente du conseil d’administration
Banques alimentaires Canada