Des pirates affirment avoir piraté des systèmes appartenant à LexisNexis, un fournisseur mondial de services juridiques et d’analyse de données, exposant des dossiers internes liés à des centaines de milliers de comptes utilisateurs, y compris des adresses e-mail affiliées au gouvernement.
La violation présumée a été publiée en ligne par un acteur malveillant se faisant appeler FulcrumSec, qui a publié un ensemble de données censé contenir environ 3,9 millions d’enregistrements de bases de données. Selon la revendication, les données incluent des informations de profil liées à environ 400 000 utilisateurs ainsi que des dossiers liés à des clients d’entreprise tels que des cabinets d’avocats, des universités, des entreprises et des agences gouvernementales.
Certains des documents incluent apparemment des adresses e-mail associées à des domaines gouvernementaux des États-Unis. L’ensemble de données référencerait des comptes liés aux tribunaux et aux agences fédérales, y compris des juges, des avocats du ministère de la Justice et d’autres membres du personnel du secteur public.
Les attaquants ont déclaré avoir accédé à l’environnement cloud de l’entreprise hébergé sur Amazon Web Services en exploitant une vulnérabilité dans une application React non corrigée. Selon les affirmations, la faille permettait d’accéder à l’environnement, où les attaquants pouvaient obtenir des identifiants de base de données et accéder aux systèmes internes.
Les données divulguées sont décrites comme environ 2,04 Go d’informations structurées. Il inclurait prétendument des comptes clients d’entreprise, des dossiers de support internes, des identifiants système et des informations décrivant comment les clients utilisent divers produits LexisNexis. Le jeu de données contiendrait également des registres d’accords qui associent les clients aux services d’abonnement et aux détails des contrats.
Les chercheurs en sécurité cités dans le rapport ont indiqué que la compromission pourrait avoir impliqué des rôles d’accès trop permissifs au sein de l’infrastructure cloud, permettant aux attaquants de récupérer des identifiants stockés dans des systèmes tels qu’AWS Secrets Manager. L’acteur malveillant a également affirmé que des dizaines d’identifiants en clair étaient accessibles dans l’environnement.
LexisNexis a confirmé qu’une partie non autorisée avait accédé à un nombre limité de ses serveurs, mais a indiqué que les données exposées étaient principalement des informations anciennes ou non critiques. L’entreprise a indiqué que les systèmes concernés contenaient des données héritées d’avant 2020, incluant des identifiants utilisateurs, des informations de contact clients, des détails sur l’utilisation des produits, des tickets de support et des réponses à des enquêtes.
L’entreprise a également indiqué que les données hautement sensibles telles que les numéros de sécurité sociale, les informations bancaires, les numéros de carte bancaire et les mots de passe actifs n’étaient pas accessibles. Selon l’entreprise, les requêtes de recherche client, les données de dossiers juridiques et les informations sur les dossiers clients ne faisaient pas non plus partie des systèmes compromis.
LexisNexis a indiqué avoir contenu l’incident, engagé des enquêteurs externes en cybersécurité et signalé la violation aux autorités policières. L’entreprise continue d’examiner l’ampleur de l’incident et d’informer les clients concernés lorsque cela est approprié.
L’acteur malveillant a publié ce jeu de données sur des forums clandestins accompagné d’un message critiquant les pratiques de sécurité de l’entreprise. Il reste incertain si les attaquants sont un groupe nouvellement formé ou un opérateur existant utilisant un nouveau pseudonyme.