A AIPAC está analisando uma violação de dados após descobrir que uma parte não autorizada acessou arquivos contendo informações pessoais no início deste ano. De acordo com um aviso enviado ao Procurador-Geral do Maine, a organização identificou o incidente em 28 de agosto e determinou que o atacante acessou dados armazenados entre 20 de outubro de 2024 e 6 de fevereiro de 2025. AIPAC reported que 810 pessoas foram afetadas, incluindo pelo menos um residente do Maine, e começou a emitir cartas de notificação em meados de novembro.
A organização afirmou que as informações expostas podem incluir nomes, números de telefone, endereços de e-mail e endereços postais. Alguns indivíduos também podem ter tido documentos de identidade ou detalhes financeiros armazenados nos arquivos afetados, embora o AIPAC não tenha especificado quantos registros continham essas categorias de dados. A revisão está em andamento e visa confirmar quais documentos foram acessados e quais indivíduos foram diretamente impactados. A AIPAC observou que o incidente não envolveu ransomware e não foi ligado a nenhuma tentativa pública de extorsão.
O AIPAC não divulgou o método usado para obter acesso nem o sistema comprometido. A janela de vários meses durante a qual o atacante acessou os dados armazenados sugere que o intruso manteve acesso persistente antes da detecção. Analistas de segurança afirmam que longos tempos de permanência podem aumentar o risco de uso indevido porque o atacante pode ter visualizado ou extraído vários tipos de arquivos contendo diferentes categorias de informações pessoais.
A organização afirmou que contratou suporte externo de cibersegurança para investigar o incidente e tomou medidas para proteger o ambiente afetado. A revisão contínua inclui a identificação dos arquivos específicos envolvidos, a análise dos registros de acesso e a verificação se informações adicionais foram expostas. A AIPAC afirmou que fornecerá mais detalhes aos reguladores, conforme exigido pelas regras estaduais e federais de notificação.
Os tipos de dados listados na divulgação podem ser usados em roubo de identidade, tentativas de phishing ou engenharia social direcionada. Pessoas que recebem uma notificação são aconselhadas a monitorar as contas em busca de atividades incomuns e ter cautela com mensagens não solicitadas que refiram a dados pessoais ou à sua associação com a AIPAC. Analistas observam que organizações de assuntos públicos frequentemente armazenam informações de contato de apoiadores, participantes e doadores, o que pode tornar esses grupos alvos atraentes para atores ameaçadores que buscam dados identificáveis e de alta qualidade.