AIPAC sta esaminando una violazione dei dati dopo aver scoperto che una parte non autorizzata ha avuto accesso a file contenenti informazioni personali all’inizio di quest’anno. Secondo un avviso presentato al Procuratore Generale del Maine, l’organizzazione ha identificato l’incidente il 28 agosto e ha stabilito che l’aggressore ha avuto accesso ai dati memorizzati tra il 20 ottobre 2024 e il 6 febbraio 2025. AIPAC reported ha segnalato che 810 persone sono state colpite, incluso almeno un residente del Maine, e ha iniziato a inviare lettere di notifica a metà novembre.
L’organizzazione ha dichiarato che le informazioni esposte potrebbero includere nomi, numeri di telefono, indirizzi email e postali. Alcuni individui potrebbero anche avere documenti d’identità o dati finanziari conservati nei file interessati, anche se AIPAC non ha specificato quanti record contenessero tali categorie di dati. La revisione è in corso e mira a confermare quali documenti sono stati consultati e quali individui sono stati direttamente colpiti. AIPAC ha osservato che l’incidente non ha coinvolto ransomware e non è stato collegato a alcun tentativo pubblico di estorsione.
AIPAC non ha divulgato il metodo utilizzato per ottenere l’accesso né il sistema compromesso. La finestra di diversi mesi durante la quale l’attaccante ha accedito ai dati memorizzati suggerisce che l’intruso abbia mantenuto un accesso persistente prima di essere rilevato. Gli analisti di sicurezza affermano che lunghi tempi di permanenza possono aumentare il rischio di uso improprio perché l’attaccante potrebbe aver visualizzato o estratto più tipi di file contenenti diverse categorie di informazioni personali.
L’organizzazione ha dichiarato di aver coinvolto un supporto esterno di cybersecurity per indagare sull’incidente e di aver adottato misure per mettere in sicurezza l’ambiente interessato. La revisione in corso include l’identificazione dei file specifici coinvolti, l’analisi dei log di accesso e la verifica se siano state esposte ulteriori informazioni. AIPAC ha dichiarato che fornirà ulteriori dettagli ai regolatori come richiesto dalle norme di notifica statali e federali.
I tipi di dati elencati nella dichiarazione possono essere utilizzati in furto d’identità, tentativi di phishing o ingegneria sociale mirata. Si consiglia alle persone che ricevono una notifica di monitorare gli account per attività insolite e di stare attenti a messaggi non richiesti che fanno riferimento a dati personali o alla loro associazione con AIPAC. Gli analisti osservano che le organizzazioni di pubbliche relazioni spesso conservano le informazioni di contatto di sostenitori, partecipanti e donatori, il che può rendere questi gruppi obiettivi attraenti per gli attori minacciosi che cercano dati identificabili e di alta qualità.