American Lending Center ist ein in Kalifornien ansässiger Nichtbank-Kreditgeber, der ein Portfolio im Umfang von drei Milliarden US-Dollar verwaltet und sich auf staatlich garantierte Kredite für Kleinunternehmen spezialisiert hat. In dieser Woche machte das Unternehmen öffentlich, dass ein im vergangenen Jahr entdeckter Datenabfluss mehr als 123.000 Personen betrifft.
Den Angriff selbst registrierte ALC nach eigenen Angaben im Juli 2025. Bis zum Abschluss der forensischen Untersuchung vergingen jedoch fast zwölf Monate – sie wurde erst am 8. April abgeschlossen. Zu den potenziell entwendeten Daten zählen Namen, Geburtsdaten und Sozialversicherungsnummern.
In dem Benachrichtigungsschreiben, das der Staatsanwaltschaft von Maine vorgelegt wurde, beschreibt das Unternehmen den Ablauf: Der Angreifer habe das interne Netzwerk kompromittiert, einen Ransomware-Angriff ausgeführt und auf bestimmte Dateien zugegriffen, die personenbezogene oder sensible Informationen enthalten haben könnten. ALC erklärt, es lägen keine Hinweise darauf vor, dass die betroffenen Daten missbraucht worden seien.
SecurityWeek ordnet diese Formulierung ein: Unternehmen fügen solche Hinweise auf fehlenden Missbrauch häufig in ihre Mitteilungen ein – selbst dann, wenn Cyberkriminelle die Daten bereits veröffentlicht haben.
Auffällig ist im Fall ALC, dass sich keine bekannte Ransomware-Gruppe zu dem Angriff bekannt hat. Nach Einschätzung von SecurityWeek könnte dies zwei Gründe haben: Entweder wurde ein Lösegeld gezahlt, oder hinter dem Angriff steht eine Tätergruppe, die keine öffentliche Leak-Website betreibt.
SecurityWeek hat ALC um eine Stellungnahme gebeten und will den Bericht bei einer Antwort aktualisieren.