Gli hacker affermano di aver violato sistemi appartenenti a LexisNexis, un fornitore globale di servizi legali e di analisi dei dati, esponendo registri interni collegati a centinaia di migliaia di account utente, inclusi indirizzi email affiliati al governo.
La presunta violazione è stata pubblicata online da un attore minaccioso che si fa chiamare FulcrumSec, che ha pubblicato un dataset che si dice contenga circa 3,9 milioni di record di database. Secondo la rivendicazione, i dati includono informazioni di profilo legate a circa 400.000 utenti, oltre a registri collegati a clienti aziendali come studi legali, università, aziende e enti governativi.
Alcuni dei documenti riportano indirizzi email associati ai domini del governo degli Stati Uniti. Il dataset farebbe riferimento a resoconti legati a tribunali e agenzie federali, inclusi giudici, avvocati del Dipartimento di Giustizia e altri dipendenti del settore pubblico.
Gli attaccanti hanno dichiarato di aver ottenuto accesso all’ambiente cloud dell’azienda ospitato su Amazon Web Services sfruttando una vulnerabilità in un’applicazione React non aggiornata. Secondo le affermazioni, la falla ha fornito l’accesso all’ambiente, dove gli attaccanti sono riusciti a ottenere credenziali del database e ad accedere ai sistemi interni.
I dati trapepati sono descritti come circa 2,04 GB di informazioni strutturate. Si presume che includa account clienti aziendali, registri di supporto interni, credenziali di sistema e informazioni che descrivono come i clienti utilizzano vari prodotti LexisNexis. Il dataset contiene anche registri di accordi che mappano i clienti ai servizi in abbonamento e ai dettagli contrattuali.
I ricercatori di sicurezza citati nel rapporto hanno affermato che la compromessa potrebbe aver coinvolto ruoli di accesso eccessivamente permissivi all’interno dell’infrastruttura cloud, che hanno permesso agli attaccanti di recuperare credenziali memorizzate in sistemi come AWS Secrets Manager. L’attore minaccioso ha anche affermato che decine di credenziali in testo chiaro erano accessibili nell’ambiente.
LexisNexis ha confermato che una parte non autorizzata ha avuto accesso a un numero limitato dei suoi server, ma ha affermato che i dati esposti erano costituiti principalmente da informazioni più vecchie o non critiche. L’azienda ha dichiarato che i sistemi interessati contenevano dati legacy precedenti al 2020, inclusi identificatori utente, informazioni di contatto dei clienti, dettagli sull’utilizzo dei prodotti, ticket di supporto e risposte ai sondaggi.
L’azienda ha inoltre dichiarato che dati altamente sensibili come numeri di previdenza sociale, informazioni di conto bancario, numeri di carte di credito e password attive non sono stati accessibili. Secondo l’azienda, le query di ricerca dei clienti, i dati legali dei casi legali e le informazioni sui dati sui clienti non facevano parte dei sistemi compromessi.
LexisNexis ha dichiarato di aver contenuto l’incidente, coinvolto investigatori esterni sulla cybersecurity e segnalato la violazione alle autorità di polizia. L’azienda continua a esaminare l’entità dell’incidente e a notificare i clienti interessati dove opportuno.
L’attore minaccioso ha pubblicato il dataset su forum clandestini insieme a un messaggio che criticava le pratiche di sicurezza dell’azienda. Non è chiaro se gli attaccanti siano un gruppo appena formato o un operatore già esistente che usa un nuovo alias.