L’AIPAC examine une violation de données après avoir découvert qu’une partie non autorisée a accédé à des fichiers contenant des informations personnelles plus tôt cette année. Selon un avis soumis au procureur général du Maine, l’organisation a identifié l’incident le 28 août et a déterminé que l’attaquant avait accédé aux données stockées entre le 20 octobre 2024 et le 6 février 2025. AIPAC reported a indiqué que 810 personnes étaient touchées, dont au moins un résident du Maine, et a commencé à émettre des lettres de notification à la mi-novembre.
L’organisation a indiqué que les informations exposées pouvaient inclure des noms, des numéros de téléphone, des adresses e-mail et des adresses postales. Certaines personnes pouvaient également avoir des documents d’identité ou des informations financières stockés dans les fichiers concernés, bien que l’AIPAC n’ait pas précisé combien d’enregistrements contenaient ces catégories de données. L’examen est en cours et vise à confirmer quels documents ont été consultés et quels individus ont été directement touchés. AIPAC a noté que l’incident n’impliquait pas de ransomware et n’a été lié à aucune tentative d’extorsion publique.
L’AIPAC n’a pas divulgué la méthode utilisée pour obtenir l’accès ni le système compromis. La fenêtre de plusieurs mois durant laquelle l’attaquant a accédé aux données stockées suggère que l’intrus a maintenu un accès persistant avant d’être détecté. Les analystes de la sécurité affirment que de longues périodes d’attente peuvent augmenter le risque d’utilisation abusive, car l’attaquant a pu consulter ou extraire plusieurs types de fichiers contenant différentes catégories d’informations personnelles.
L’organisation a déclaré avoir fait appel à un soutien externe en cybersécurité pour enquêter sur l’incident et a pris des mesures pour sécuriser l’environnement concerné. L’examen en cours inclut l’identification des fichiers spécifiques concernés, l’analyse des journaux d’accès et la vérification de la présence d’informations supplémentaires. L’AIPAC a indiqué qu’il fournira plus de détails aux régulateurs, comme l’exigent les règles de notification étatiques et fédérales.
Les types de données listés dans la divulgation peuvent être utilisés pour le vol d’identité, les tentatives de phishing ou l’ingénierie sociale ciblée. Les personnes recevant une notification sont conseillées de surveiller les comptes pour toute activité inhabituelle et de se méfier des messages non sollicités faisant référence à des informations personnelles ou à leur lien avec l’AIPAC. Les analystes notent que les organisations de relations publiques stockent souvent les coordonnées des soutiens, participants et donateurs, ce qui peut faire de ces groupes des cibles attrayantes pour les acteurs malveillants recherchant des données identifiables et de haute qualité.