In de Verenigde Staten is een massaclaim aangespannen tegen het bedrijf Blackbaud, dat onder andere gegevens van de TU Delft en Universiteit Utrecht lekte. Blackbaud is een cloudsoftwarebedrijf dat allerlei diensten aan non-profitorganisaties en onderwijsinstellingen levert, waaronder CRM-systemen (customer relationship management).

In mei werd de cloudprovider het doelwit van een ransomware-aanval. De aanval werd gestopt, maar voordat de aanvaller de ransomware uitrolde wist hij gegevens van allerlei Blackbaud-klanten te stelen, waaronder de twee Nederlandse universiteiten. In het geval van de Universiteit Utrecht en TU Delft kregen de aanvallers toegang tot een oude back-up uit 2017 die onbedoeld nog in de omgeving van Blackbaud stond. Blackbaud betaalde de crimineel achter de aanval om de data te vernietigen. Het bedrijf denkt niet dat de data buiten de cybercrimineel om is verspreid, is of zal worden misbruikt of op andere wijze openbaar zal worden gemaakt.

Volgens de nu aangespannen rechtszaak lopen slachtoffers van het datalek risico op identiteitsdiefstal en fraude. Daarbij zou Blackbaud nalatig zijn geweest in het beschermen van de gegevens van duizenden studenten, patiënten, artsen en donoren die bij het datalek werden gestolen. De eiser stelt verder dat Blackbaud aan klanten liet weten dat gegevens goed beveiligd zouden zijn, maar dat die desondanks toch werden gestolen. Ook kan het bedrijf niet op het woord van de aanvaller vertrouwen dat de gegevens zijn vernietigd, zo staat in de aanklacht vermeld.

"Om te geloven dat een crimineel die heeft ingebroken op je systeem zich aan zijn woord heeft gehouden en alle informatie heeft verwijderd, is denk ik niet voldoende", zegt advocaat Matthew Lee van advocatenkantoor Whitfield Bryson & Mason, die de zaak op verzoek van een gedupeerde cliënt heeft aangespannen. Volgens Lee lopen tienduizenden mensen risico op identiteitsdiefstal. De eiser in deze zaak wil dat Blackbaud kredietmonitoring aan getroffen slachtoffers aanbiedt en hen een schadevergoeding betaalt (pdf).