Hackers beweren systemen van LexisNexis, een wereldwijde aanbieder van juridische en data-analysediensten, te zijn binnengekomen en interne gegevens te hebben blootgelegd die gekoppeld zijn aan honderdduizenden gebruikersaccounts, waaronder e-mailadressen aan de overheid.
De vermeende inbreuk werd online gepubliceerd door een dreigingsactor die zichzelf FulcrumSec noemt, die een dataset vrijgaf die naar verluidt ongeveer 3,9 miljoen databaserecords bevat. Volgens de bewering bevatten de gegevens profielinformatie gekoppeld aan ongeveer 400.000 gebruikers, evenals gegevens die verbonden zijn aan zakelijke klanten zoals advocatenkantoren, universiteiten, bedrijven en overheidsinstanties.
Sommige van de documenten bevatten naar verluidt e-mailadressen die gekoppeld zijn aan domeinen van de Amerikaanse overheid. De dataset verwijst naar verwijzingen naar accounts die gelinkt zijn aan rechtbanken en federale instanties, waaronder rechters, advocaten van het ministerie van Justitie en ander personeel van de publieke sector.
De aanvallers zeiden dat ze toegang kregen tot de cloudomgeving van het bedrijf die op Amazon Web Services werd gehost door misbruik te maken van een kwetsbaarheid in een niet-gepatchte React-applicatie. Volgens de beweringen bood de zwakte toegang tot de omgeving, waar aanvallers databasegegevens konden verkrijgen en interne systemen konden benaderen.
De gelekte gegevens worden beschreven als ongeveer 2,04 GB gestructureerde informatie. Het zou naar verluidt zakelijke klantaccounts, interne supportgegevens, systeemgegevens en informatie bevatten die beschrijven hoe klanten verschillende LexisNexis-producten gebruiken. De dataset bevat naar verluidt ook overeenkomstgegevens die klanten koppelen aan abonnementsdiensten en contractdetails.
Beveiligingsonderzoekers die in het rapport worden genoemd, zeiden dat de compromis mogelijk te veel toegang had binnen de cloudinfrastructuur, waardoor aanvallers inloggegevens konden ophalen die waren opgeslagen in systemen zoals AWS Secrets Manager. De dreigingsactor beweerde ook dat tientallen platte tekstgegevens toegankelijk waren in de omgeving.
LexisNexis bevestigde dat een ongeautoriseerde partij toegang had tot een beperkt aantal van zijn servers, maar zei dat de blootgestelde data grotendeels bestond uit oudere of niet-kritische informatie. Het bedrijf zei dat de getroffen systemen legacy data bevatten van vóór 2020, waaronder gebruikersidentificaties, klantcontactgegevens, productgebruiksgegevens, supporttickets en enquête-reacties.
Het bedrijf verklaarde ook dat zeer gevoelige gegevens zoals sofinummers, bankrekeninggegevens, creditcardnummers en actieve wachtwoorden niet werden benaderd. Volgens het bedrijf maakten klantzoekopdrachten, gegevens van juridische zaken en informatie over klantzaken ook geen deel uit van de gecompromitteerde systemen.
LexisNexis zei dat het het incident heeft ingeperkt, externe cyberbeveiligingsonderzoekers heeft ingeschakeld en de inbreuk heeft gemeld bij de wetshandhavingsinstanties. Het bedrijf blijft de omvang van het incident beoordelen en waar nodig de getroffen klanten informeren.
De dreigingsactor plaatste de dataset op ondergrondse forums, samen met een bericht waarin hij de beveiligingspraktijken van het bedrijf bekritiseerde. Het blijft onduidelijk of de aanvallers een nieuw gevormde groep zijn of een bestaande operator die een nieuwe alias gebruikt.