AIPAC está revisando una brecha de datos tras descubrir que una parte no autorizada accedió a archivos que contienen información personal a principios de este año. Según un aviso presentado al Fiscal General de Maine, la organización identificó el incidente el 28 de agosto y determinó que el atacante accedió a los datos almacenados entre el 20 de octubre de 2024 y el 6 de febrero de 2025. AIPAC reported indicó que 810 personas se vieron afectadas, incluyendo al menos un residente de Maine, y comenzó a emitir cartas de notificación a mediados de noviembre.
La organización indicó que la información expuesta puede incluir nombres, números de teléfono, direcciones de correo electrónico y direcciones postales. Algunas personas también pueden haber tenido documentos de identidad o datos financieros almacenados en los archivos afectados, aunque AIPAC no ha especificado cuántos registros contenían esas categorías de datos. La revisión sigue en curso y tiene como objetivo confirmar qué documentos fueron consultados y qué personas fueron directamente afectadas. AIPAC señaló que el incidente no implicó ransomware y no ha estado vinculado a ningún intento público de extorsión.
AIPAC no ha revelado el método utilizado para obtener el acceso ni el sistema que fue comprometido. La ventana de varios meses durante la cual el atacante accedió a los datos almacenados sugiere que el intruso mantuvo un acceso persistente antes de ser detectado. Los analistas de seguridad afirman que los largos tiempos de permanencia pueden aumentar el riesgo de mal uso porque el atacante puede haber visto o extraído varios tipos de archivos que contienen diferentes categorías de información personal.
La organización declaró que contrató apoyo externo de ciberseguridad para investigar el incidente y ha tomado medidas para proteger el entorno afectado. La revisión en curso incluye la identificación de los archivos específicos implicados, el análisis de los registros de acceso y la verificación de si se ha expuesto información adicional. AIPAC dijo que proporcionará más detalles a los reguladores según lo exigieran las normas estatales y federales de notificación.
Los tipos de datos listados en la divulgación pueden utilizarse en robo de identidad, intentos de phishing o ingeniería social dirigida. Se recomienda a las personas que reciban una notificación que vigilen las cuentas en busca de actividades inusuales y tengan cuidado con mensajes no solicitados que hagan referencia a datos personales o a su relación con AIPAC. Los analistas señalan que las organizaciones de asuntos públicos suelen almacenar información de contacto de simpatizantes, asistentes y donantes, lo que puede convertir a estos grupos en objetivos atractivos para actores amenazantes que buscan datos identificables y de alta calidad.