En julio de 2020, el proveedor de software de gestión de datos de donantes con sede en Carolina del Sur reveló la existencia de un ataque de ransomware y afirmó que el atacante no había accedido a la información de las cuentas bancarias ni a los números de la Seguridad Social de los donantes, según la SEC.

"A los pocos días" de esas revelaciones, algunos empleados de la empresa se enteraron de que el atacante había accedido a esa información y se había apoderado de ella, dijo la SEC. Los empleados no informaron a los altos directivos responsables de la divulgación pública porque la empresa no mantuvo los controles y procedimientos de divulgación, dijo la SEC.

En agosto de 2020, dijo la SEC, Blackbaud presentó un informe trimestral a la agencia que omitía información material sobre el alcance del ataque.

Un abogado de Blackbaud, que no admitió ni negó las conclusiones de la SEC, no respondió inmediatamente a una solicitud de comentarios.