Hackers afirmam ter invadido sistemas pertencentes à LexisNexis, uma fornecedora global de serviços jurídicos e de análise de dados, expondo registros internos vinculados a centenas de milhares de contas de usuário, incluindo endereços de e-mail afiliados ao governo.
A suposta violação foi publicada online por um ator ameaçador chamado FulcrumSec, que divulgou um conjunto de dados que se diz conter cerca de 3,9 milhões de registros de banco de dados. De acordo com a alegação, os dados incluem informações de perfil vinculadas a cerca de 400.000 usuários, bem como registros relacionados a clientes corporativos, como escritórios de advocacia, universidades, corporações e órgãos governamentais.
Alguns dos registros supostamente incluem endereços de e-mail associados a domínios do governo dos Estados Unidos. O conjunto de dados supostamente faz referência a contas ligadas a tribunais e agências federais, incluindo juízes, advogados do Departamento de Justiça e outros funcionários do setor público.
Os atacantes disseram que conseguiram acesso ao ambiente de nuvem da empresa hospedado na Amazon Web Services ao explorar uma vulnerabilidade em um aplicativo React não atualizado. De acordo com as alegações, a falha proporcionava acesso ao ambiente, onde os atacantes podiam obter credenciais de banco de dados e acessar sistemas internos.
Os dados vazados são descritos como cerca de 2,04 GB de informações estruturadas. Supostamente, inclui contas de clientes empresariais, registros internos de suporte, credenciais do sistema e informações que descrevem como os clientes utilizam diversos produtos LexisNexis. O conjunto de dados também contém registros de contratos que mapeiam clientes para serviços de assinatura e detalhes de contratos.
Pesquisadores de segurança citados no relatório disseram que o compromisso pode ter envolvido papéis de acesso excessivamente permissivos dentro da infraestrutura de nuvem, o que permitiu aos atacantes recuperar credenciais armazenadas em sistemas como o AWS Secrets Manager. O ator ameaçador também afirmou que dezenas de credenciais em texto simples estavam acessíveis no ambiente.
A LexisNexis confirmou que uma parte não autorizada acessou um número limitado de seus servidores, mas afirmou que os dados expostos consistiam em grande parte de informações antigas ou não críticas. A empresa afirmou que os sistemas afetados continham dados legados anteriores a 2020, incluindo identificadores de usuários, informações de contato de clientes, detalhes de uso de produtos, chamados de suporte e respostas a pesquisas.
A empresa também afirmou que dados altamente sensíveis, como números de Previdência Social, informações bancárias, números de cartão de crédito e senhas ativas, não foram acessados. Consultas de buscas de clientes, dados de casos jurídicos e informações de assuntos de clientes também não faziam parte dos sistemas comprometidos, segundo a empresa.
A LexisNexis afirmou que conteve o incidente, contratou investigadores externos de cibersegurança e reportou a violação às autoridades policiais. A empresa continua revisando o escopo do incidente e notificando os clientes afetados quando apropriado.
O agente da ameaça publicou o conjunto de dados em fóruns clandestinos junto com uma mensagem criticando as práticas de segurança da empresa. Ainda não está claro se os atacantes são um grupo recém-formado ou um operador existente usando um novo pseudônimo.