Im Juli 2020 gab der in South Carolina ansässige Anbieter von Software zur Verwaltung von Spenderdaten bekannt, dass ein Ransomware-Angreifer keinen Zugriff auf Bankdaten oder Sozialversicherungsnummern von Spendern hatte, so die SEC.

"Innerhalb weniger Tage" nach dieser Bekanntgabe erfuhren einige Mitarbeiter des Unternehmens, dass der Angreifer auf diese Informationen zugegriffen und sie entwendet hatte, so die SEC. Die Angestellten informierten die für die Veröffentlichung verantwortlichen Führungskräfte nicht, da die Firma es versäumt hatte, Kontrollen und Verfahren zur Offenlegung zu unterhalten, sagte die SEC.

Im August 2020, so die SEC, reichte Blackbaud einen Quartalsbericht bei der Behörde ein, der wesentliche Informationen über das Ausmaß des Angriffs ausließ.

Ein Anwalt von Blackbaud, das die Feststellungen der SEC weder zugegeben noch dementiert hat, reagierte nicht sofort auf eine Bitte um Stellungnahme.