AIPAC onderzoekt een datalek nadat ontdekt werd dat een ongeautoriseerde partij eerder dit jaar toegang had gehad tot bestanden met persoonlijke informatie. Volgens een kennisgeving die is ingediend bij de procureur-generaal van Maine, heeft de organisatie het incident op 28 augustus geïdentificeerd en vastgesteld dat de aanvaller toegang had tot gegevens die waren opgeslagen tussen 20 oktober 2024 en 6 februari 2025. AIPAC reported meldde dat 810 personen werden getroffen, waaronder minstens één inwoner van Maine, en begon medio november met het uitgeven van kennisgevingsbrieven.
De organisatie zei dat de blootgelegde informatie namen, telefoonnummers, e-mailadressen en postadressen kan omvatten. Sommige personen hadden mogelijk ook identiteitsdocumenten of financiële gegevens opgeslagen in de getroffen bestanden, hoewel AIPAC niet heeft gespecificeerd hoeveel records die categorieën gegevens bevatten. De beoordeling loopt en heeft als doel te bevestigen welke documenten zijn geraadpleegd en welke personen direct zijn getroffen. AIPAC merkte op dat het incident geen betrekking had op ransomware en niet in verband is gebracht met een poging tot publieke afpersing.
AIPAC heeft de methode die is gebruikt om toegang te verkrijgen of het systeem dat is gecompromitteerd niet bekendgemaakt. Het venster van meerdere maanden waarin de aanvaller toegang kreeg tot opgeslagen gegevens, suggereert dat de indringer een persistent toegangsproces behield voordat het werd ontdekt. Beveiligingsanalisten zeggen dat lange dwell-tijden het risico op misbruik kunnen vergroten, omdat de aanvaller mogelijk meerdere bestandstypen met verschillende categorieën persoonlijke informatie heeft bekeken of geëxcludeerd.
De organisatie verklaarde dat zij externe cybersecurityondersteuning heeft ingeschakeld om het incident te onderzoeken en stappen heeft ondernomen om de getroffen omgeving te beveiligen. De lopende beoordeling omvat het identificeren van de specifieke betrokken bestanden, het analyseren van toegangslogboeken en het verifiëren of aanvullende informatie is blootgesteld. AIPAC zei dat het verdere details zal verstrekken aan toezichthouders zoals vereist onder staats- en federale kennisgevingsregels.
De gegevenstypen die in de openbaarmaking worden vermeld, kunnen worden gebruikt bij identiteitsdiefstal, phishingpogingen of gerichte social engineering. Personen die een melding ontvangen, worden geadviseerd accounts te monitoren op ongewone activiteiten en voorzichtig te zijn met ongevraagde berichten die verwijzen naar persoonlijke gegevens of hun band met AIPAC. Analisten merken op dat organisaties voor public affairs vaak contactgegevens bewaren van supporters, deelnemers en donateurs, wat deze groepen aantrekkelijke doelwitten kan maken voor dreigingsactoren die op zoek zijn naar identificeerbare en hoogwaardige data.