被勒索軟體攻擊的雲端軟體業者Blackbaud面臨23起集體訴訟案

專門提供大學、政府機關及非營利組織雲端運算服務的Blackbaud，在今年5月遭到駭客入侵，駭客闖進Blackbaud的網路企圖植入勒索軟體，且下載與刪除了伺服器上的資料，Blackbaud本周在提交給美國證券交易委員會（Securities and Exchange Commission，SEC）的文件中指出，迄今該公司已因此而面臨23起集體訴訟案。

成立於1983年的Blackbaud雖然總部設於美國，但所服務的客戶遍及全球，從英國、澳洲、加拿大、荷蘭到香港不等。

Blackbaud於今年5月遭到攻擊，但一直到7月16日才對外揭露。根據該公司的說明，他們是在今年5月發現並阻止了一場勒索軟體攻擊，其資安團隊在發現的當下就成功避免了駭客的檔案加密行動，但在把駭客趕出系統之前，駭客已自該公司的私有雲端環境下載了部份的資料，為了保護客戶的資料安全，Blackbaud選擇支付了贖金，要求駭客摧毀已下載的資料，且並無任何理由相信駭客曾濫用這些資料或將資料公諸於世。

儘管如此，由於Blackbaud的客戶也必須向它們的使用者交代，使得Blackbaud面臨了多達23起的集體訴訟，以及160項的索賠請求。

Blackbaud在SEC文件中指出，在23起訴訟案中，有21起位於美國，2起位於加拿大，原告宣稱此一攻擊事件對它們造成了傷害，認為這算是Blackbaud的疏失。此外，還有160名來自美國、英國及加拿大的客戶要求Blackbaud賠償，因為它們也必須承擔該意外的成本，像是通知使用者或是提供信用監控等。

文件亦透露，從今年的6月到9月間，Blackbaud因為此一攻擊意外而造成的支出為320萬美元，若計算1到9月的相關成本則是360萬美元，當中有290萬美元是由保險支付，除了暗示Blackbaud支付給駭客的贖金可能為40萬美元以外，也彰顯了資安險的重要性。