Hacker behaupten, in Systeme von LexisNexis, einem globalen Anbieter von Rechts- und Datenanalysediensten, eingedrungen zu haben und interne Datendaten, die mit Hunderttausenden von Nutzerkonten verknüpft sind, einschließlich regierungsgebundener E-Mail-Adressen, offengelegt zu haben.
Der angebliche Datenverstoß wurde online von einem Bedrohungsakteur veröffentlicht, der sich FulcrumSec nennt, der einen Datensatz veröffentlichte, der angeblich etwa 3,9 Millionen Datenbankeinträge enthält. Laut der Behauptung enthalten die Daten Profilinformationen, die mit etwa 400.000 Nutzern verknüpft sind, sowie Daten, die mit Unternehmenskunden wie Anwaltskanzleien, Universitäten, Unternehmen und Regierungsbehörden verbunden sind.
Einige der Unterlagen enthalten Berichten zufolge E-Mail-Adressen, die mit Domains der US-Regierung verknüpft sind. Der Datensatz bezieht sich angeblich auf Konten, die mit Gerichten und Bundesbehörden verbunden sind, darunter Richter, Anwälte des Justizministeriums und andere Mitarbeiter des öffentlichen Sektors.
Die Angreifer gaben an, Zugang zur Cloud-Umgebung des Unternehmens zu erhalten, die auf Amazon Web Services gehostet wird, indem sie eine Schwachstelle in einer nicht gepatchten React-Anwendung ausnutzten. Laut den Behauptungen ermöglichte der Fehler den Zugang zur Umgebung, in der Angreifer Datenbankdaten erhalten und interne Systeme erreichen konnten.
Die geleakten Daten werden mit etwa 2,04 GB strukturierter Information beschrieben. Es soll angeblich Unternehmenskundenkonten, interne Supportdaten, Systemdaten und Informationen enthalten, die beschreiben, wie Kunden verschiedene LexisNexis-Produkte nutzen. Der Datensatz enthält Berichten zufolge auch Vertragsdatensätze, die Kunden mit Abonnementdiensten und Vertragsdetails zuordnen.
Sicherheitsforscher, die im Bericht zitiert werden, erklärten, dass der Kompromiss möglicherweise übermäßig zulassende Zugriffsrollen innerhalb der Cloud-Infrastruktur betraf, die es den Angreifern ermöglichten, Zugangsdaten aus Systemen wie AWS Secrets Manager abzurufen. Der Bedrohungsakteur behauptete außerdem, dass Dutzende von Klartextzugangsdaten in der Umgebung zugänglich seien.
LexisNexis bestätigte, dass eine unbefugte Partei auf eine begrenzte Anzahl seiner Server zugegriffen hat, erklärte jedoch, dass die offengelegten Daten größtenteils aus älteren oder nicht kritischen Informationen bestanden. Das Unternehmen erklärte, dass die betroffenen Systeme Altdaten von vor 2020 enthielten, darunter Benutzerkennungen, Kundenkontaktinformationen, Produktnutzungsdetails, Support-Tickets und Umfrageantworten.
Das Unternehmen erklärte außerdem, dass hochsensible Daten wie Sozialversicherungsnummern, Bankkontoinformationen, Kreditkartennummern und aktive Passwörter nicht abgerufen wurden. Kundensuchanfragen, Rechtsfalldaten und Informationen zu Kundenangelegenheiten gehörten laut Unternehmen ebenfalls nicht zu den kompromittierten Systemen.
LexisNexis teilte mit, dass es den Vorfall eingedämmt, externe Cybersicherheits-Ermittler hinzugezogen und den Vorfall den Strafverfolgungsbehörden gemeldet habe. Das Unternehmen überprüft weiterhin das Ausmaß des Vorfalls und informiert betroffene Kunden, wo es angebracht ist.
Der Bedrohungsakteur veröffentlichte den Datensatz in unterirdischen Foren zusammen mit einer Nachricht, in der er die Sicherheitspraktiken des Unternehmens kritisierte. Es bleibt unklar, ob die Angreifer eine neu gegründete Gruppe oder ein bestehender Betreiber mit einem neuen Alias sind.