A administradora de benefícios dentários, DentaQuest, está sob escrutínio após relatos de que informações pertencentes a aproximadamente 2,6 milhões de contas foram expostas em uma violação de dados divulgada nas últimas semanas. O incidente surgiu após dados ligados à empresa aparecerem online e foram posteriormente analisados por serviços de rastreamento de violações de dados.
De acordo com reportagens sobre o incidente, o grupo de cibercrime ShinyHunters assumiu a responsabilidade por violar o DentaQuest e listou a organização em seu site de vazamento em maio. O grupo alegou ter obtido mais de 234 GB de dados da empresa. A alegação foi feita pelo ator ameaçador e não foi apresentada como fato verificado de forma independente.
A escala da exposição ficou mais clara após a análise do conjunto de dados e adicionada ao serviço de notificação de violações HaveIBeenPwned. O serviço informou que 2,6 milhões de contas foram afetadas e afirmou que as informações expostas incluíam nomes, endereços de e-mail, endereços físicos, números de telefone, datas de nascimento, informações de gênero, identificadores emitidos pelo governo e dados relacionados a seguros de saúde.
O HaveIBeenPwned listou a violação como ocorrendo em maio de 2026 e a adicionou ao seu banco de dados em 3 de junho. O serviço informou que as informações foram incorporadas ao seu repositório pesquisável de violações, permitindo que os usuários determinem se seus endereços de e-mail apareciam nos dados expostos.
A DentaQuest reconheceu um incidente de cibersegurança em um comunicado referenciado por vários relatórios. De acordo com essa declaração, a empresa abriu uma investigação sobre acesso não autorizado envolvendo parte de sua rede. A empresa indicou que sua revisão do incidente estava em andamento e que os indivíduos afetados deveriam receber notificação caso suas informações fossem consideradas envolvidas.
O incidente ganhou atenção pública quando a ShinyHunters publicou alegações sobre a violação no local do vazamento. Na época, o grupo ameaçou divulgar as informações supostamente roubadas. Relatórios publicados no final de maio observaram que havia poucos detalhes disponíveis sobre o alcance da intrusão e os registros específicos envolvidos.
Um relatório separado do HaveIBeenPwned posteriormente afirmou que 2,6 milhões de endereços de e-mail únicos estavam incluídos no conjunto de dados exposto e que os registros continham uma variedade de informações pessoais e relacionadas a seguros.