AIPAC prüft eine Datenpanne, nachdem festgestellt wurde, dass eine unbefugte Partei Anfang dieses Jahres auf Dateien mit persönlichen Informationen zugegriffen hat. Laut einer an den Generalstaatsanwalt von Maine übermittelten Mitteilung identifizierte die Organisation den Vorfall am 28. August und stellte fest, dass der Angreifer auf Daten zugriff, die zwischen dem 20. Oktober 2024 und dem 6. Februar 2025 gespeichert waren. AIPAC reported , dass 810 Personen betroffen waren, darunter mindestens ein Einwohner von Maine, und begann Mitte November mit dem Versand von Benachrichtigungsschreiben.
Die Organisation erklärte, dass die offengelegten Informationen Namen, Telefonnummern, E-Mail-Adressen und Postadressen umfassen könnten. Einige Personen hatten möglicherweise auch Identitätsdokumente oder finanzielle Daten in den betroffenen Dateien gespeichert, obwohl AIPAC nicht angegeben hat, wie viele Datensätze diese Datenkategorien enthielten. Die Überprüfung ist im Gange und zielt darauf ab, zu bestätigen, auf welche Dokumente zugegriffen wurden und welche Personen direkt betroffen waren. AIPAC stellte fest, dass der Vorfall keine Ransomware betraf und nicht mit einem öffentlichen Erpressungsversuch in Verbindung gebracht wurde.
AIPAC hat die verwendete Methode zur Erlangung des Zugangs oder das kompromittierte System nicht offengelegt. Das mehrmonatige Zeitfenster, in dem der Angreifer auf gespeicherte Daten zugriff, deutet darauf hin, dass der Eindringling einen dauerhaften Zugriff vor der Entdeckung beibehalten hat. Sicherheitsanalysten sagen, dass lange Verweilzeiten das Risiko eines Missbrauchs erhöhen können, da der Angreifer möglicherweise mehrere Dateitypen mit unterschiedlichen Kategorien personenbezogener Daten angesehen oder extrahiert hat.
Die Organisation gab an, externe Cybersicherheitsunterstützung zur Untersuchung des Vorfalls in Anspruch zu nehmen und Maßnahmen zur Sicherung der betroffenen Umgebung ergriffen zu haben. Die laufende Überprüfung umfasst die Identifizierung der spezifischen Akten, die Analyse von Zugriffsprotokollen und die Kontrolle, ob zusätzliche Informationen offengelegt wurden. AIPAC teilte mit, dass es den Regulierungsbehörden weitere Details liefern wird, wie es die staatlichen und bundesstaatlichen Benachrichtigungsregeln vorschreiben.
Die in der Offenlegung aufgeführten Datentypen können bei Identitätsdiebstahl, Phishing-Versuchen oder gezieltem Social Engineering eingesetzt werden. Personen, die eine Benachrichtigung erhalten, werden geraten, Konten auf ungewöhnliche Aktivitäten zu überwachen und vorsichtig bei ungefragten Nachrichten zu sein, die persönliche Daten oder ihre Verbindung zu AIPAC betreffen. Analysten weisen darauf hin, dass Organisationen für Öffentlichkeitsarbeit häufig Kontaktinformationen von Unterstützern, Teilnehmern und Spendern speichern, was diese Gruppen zu attraktiven Zielen für Bedrohungsakteure machen kann, die identifizierbare und hochwertige Daten suchen.