Los hackers afirman haber vulnerado sistemas pertenecientes a LexisNexis, un proveedor global de servicios legales y de análisis de datos, exponiendo registros internos vinculados a cientos de miles de cuentas de usuario, incluidas direcciones de correo electrónico afiliadas al gobierno.
La supuesta brecha fue publicada en línea por un actor amenazante que se hace llamar FulcrumSec, que publicó un conjunto de datos que se dice contiene aproximadamente 3,9 millones de registros de bases de datos. Según la afirmación, los datos incluyen información de perfil vinculada a unos 400.000 usuarios, así como registros relacionados con clientes empresariales como despachos de abogados, universidades, empresas y organismos gubernamentales.
Algunos de los registros incluyen supuestamente direcciones de correo electrónico asociadas a dominios del gobierno de Estados Unidos. El conjunto de datos supuestamente hace referencia a cuentas vinculadas a tribunales y agencias federales, incluidos jueces, abogados del Departamento de Justicia y otros empleados del sector público.
Los atacantes afirmaron que accedieron al entorno en la nube de la empresa alojado en Amazon Web Services explotando una vulnerabilidad en una aplicación React sin parchear. Según las afirmaciones, la falla permitía la entrada al entorno, donde los atacantes podían obtener credenciales de base de datos y acceder a sistemas internos.
Los datos filtrados se describen como unos 2,04 GB de información estructurada. Supuestamente incluye cuentas de clientes empresariales, registros internos de soporte, credenciales del sistema e información que describe cómo los clientes utilizan varios productos de LexisNexis. El conjunto de datos también contiene registros de acuerdos que asignan a los clientes servicios de suscripción y detalles de contratos.
Investigadores de seguridad citados en el informe afirmaron que el compromiso pudo haber implicado roles de acceso excesivamente permisivos dentro de la infraestructura en la nube, lo que permitió a los atacantes recuperar credenciales almacenadas en sistemas como AWS Secrets Manager. El actor amenazante también afirmó que decenas de credenciales en texto plano eran accesibles en el entorno.
LexisNexis confirmó que una parte no autorizada accedió a un número limitado de sus servidores, pero afirmó que los datos expuestos consistían en su mayoría en información antigua o no crítica. La empresa indicó que los sistemas afectados contenían datos heredados de antes de 2020, incluyendo identificadores de usuario, información de contacto de clientes, detalles de uso de productos, tickets de soporte y respuestas a encuestas.
La empresa también afirmó que no se accedió a datos altamente sensibles como números de la Seguridad Social, información bancaria, números de tarjetas de crédito y contraseñas activas. Según la empresa, las consultas de búsqueda de clientes, los datos de casos legales y la información de los asuntos del cliente tampoco formaban parte de los sistemas comprometidos.
LexisNexis afirmó que ha contenido el incidente, contratado a investigadores externos de ciberseguridad y comunicado la brecha a las autoridades policiales. La empresa continúa revisando el alcance del incidente y notificando a los clientes afectados cuando sea apropiado.
El actor de la amenaza publicó el conjunto de datos en foros clandestinos junto con un mensaje criticando las prácticas de seguridad de la empresa. Sigue sin estar claro si los atacantes son un grupo recién formado o un operador existente que usa un nuevo alias.