DentaQuest, beheerder van tandheelkundige uitkeringen, staat onder de loep genomen na berichten dat informatie van ongeveer 2,6 miljoen accounts is blootgelegd bij een datalek die de afgelopen weken is onthuld. Het incident kwam aan het licht nadat gegevens die aan het bedrijf gekoppeld waren online verschenen en vervolgens werden geanalyseerd door datalek-trackingdiensten.
Volgens berichtgeving over het incident nam de cybercrimegroep ShinyHunters de verantwoordelijkheid op zich voor het inbreken van DentaQuest en plaatste de organisatie in mei op haar leksite. De groep beweerde meer dan 234 GB aan gegevens van het bedrijf te hebben verkregen. De bewering werd gedaan door de dreigingsactor en werd niet gepresenteerd als onafhankelijk geverifieerd feit.
De omvang van de blootstelling werd duidelijker nadat de dataset was beoordeeld en toegevoegd aan de HaveIBeenPwned-meldingsdienst voor inbreuken. De dienst meldde dat 2,6 miljoen accounts werden getroffen en gaf aan dat de blootgestelde informatie namen, e-mailadressen, fysieke adressen, telefoonnummers, geboortedata, geslachtsinformatie, door de overheid uitgegeven identificatiegegevens en gegevens over ziektekostenverzekeringen omvatte.
HaveIBeenPwned vermeldde de inbreuk als in mei 2026 en voegde deze op 3 juni toe aan haar database. De dienst zei dat de informatie was opgenomen in hun doorzoekbare datalek-repository, waardoor gebruikers konden bepalen of hun e-mailadressen in de blootgestelde gegevens verschenen.
DentaQuest erkende een cyberbeveiligingsincident in een verklaring die in meerdere rapporten werd genoemd. Volgens die verklaring startte het bedrijf een onderzoek naar ongeautoriseerde toegang met een deel van zijn netwerk. Het bedrijf gaf aan dat het onderzoek van het incident nog gaande was en dat van getroffen personen werd verwacht dat zij op de hoogte zouden worden gesteld als hun informatie betrokken was.
Het incident kreeg voor het eerst publieke aandacht toen ShinyHunters claims over de inbreuk op hun leksite publiceerde. Destijds dreigde de groep de vermeend gestolen informatie vrij te geven. Rapporten die eind mei werden gepubliceerd, merkten op dat er beperkte details beschikbaar waren over de omvang van de inbraak en de specifieke documenten die erbij betrokken waren.
Een afzonderlijke rapportage van HaveIBeenPwned stelde later dat 2,6 miljoen unieke e-mailadressen in de blootgestelde dataset waren opgenomen en dat de records een reeks persoonlijke en verzekeringsgerelateerde informatie bevatten.