Hackerlar, hukuki ve veri analitiği hizmetleri sunan küresel bir sağlayıcı LexisNexis’e ait sistemleri ihlal ettiklerini ve hükümetle bağlantılı e-posta adresleri dahil yüzbinlerce kullanıcı hesabına bağlı iç kayıtları açığa çıkardıklarını iddia ediyor.
İddia edilen ihlal, kendisini FulcrumSec olarak adlandıran bir tehdit aktör tarafından çevrimiçi olarak yayımlandı; bu veri seti yaklaşık 3,9 milyon veritabanı kaydı içerdiği söyleniyor. İddiaya göre, veriler yaklaşık 400.000 kullanıcıya bağlı profil bilgileri ile hukuk firmaları, üniversiteler, şirketler ve devlet kurumları gibi kurumsal müşterilerle bağlantılı kayıtları içeriyor.
Bazı kayıtların Amerika Birleşik Devletleri hükümet alan adlarıyla ilişkili e-posta adreslerini içerdiği bildiriliyor. Veri seti, mahkemeler ve federal kurumlarla bağlantılı hesaplara atıfta bulunuyor; bunlar arasında yargıçlar, Adalet Bakanlığı avukatları ve diğer kamu sektörü çalışanları da bulunuyor.
Saldırganlar, şirketin Amazon Web Services’te barındırılan bulut ortamına yamasız bir React uygulamasındaki bir güvenlik açığını kullanarak erişim sağladıklarını söylediler. İddialara göre, bu kusur saldırganların veritabanı kimlik bilgilerini elde edebildiği ve dahili sistemlere erişebildiği ortama giriş imkanı sağladı.
Sızdırılan veriler yaklaşık 2,04 GB yapılandırılmış bilgi olarak tanımlanıyor. İddia ediliyor ki, kurumsal müşteri hesapları, dahili destek kayıtları, sistem kimlik bilgileri ve müşterilerin çeşitli LexisNexis ürünlerini nasıl kullandığını açıklayan bilgileri içeriyor. Veri setinin ayrıca müşterileri abonelik hizmetleri ve sözleşme detaylarıyla eşleyen anlaşma kayıtlarını içerdiği bildiriliyor.
Raporda atıfta bulunan güvenlik araştırmacıları, bu tehlikatın bulut altyapısında aşırı izin veren erişim rollerini içerebileceğini, bu da saldırganların AWS Secrets Manager gibi sistemlerde saklanan kimlik bilgilerini geri almasına olanak sağladığını söyledi. Tehdit aktörü ayrıca ortamda onlarca açık metin kimlik bilgilerinin erişilebilir olduğunu iddia etti.
LexisNexis, yetkisiz bir tarafın sınırlı sayıda sunucusuna eriştiğini doğruladı ancak açığa çıkan verilerin büyük ölçüde eski veya kritik olmayan bilgilerden oluştuğunu belirtti. Şirket, etkilenen sistemlerin 2020 öncesine ait eski veriler içerdiğini belirtti; kullanıcı tanımlayıcıları, müşteri iletişim bilgileri, ürün kullanım detayları, destek biletleri ve anket yanıtları dahil.
Şirket ayrıca Sosyal Güvenlik numaraları, banka hesabı bilgileri, kredi kartı numaraları ve aktif şifreler gibi son derece hassas verilere erişilmediğini belirtti. Şirkete göre, müşteri arama soruları, hukuki dava verileri ve müşteri konu bilgileri de tehlikeye giren sistemlerin bir parçası değildi.
LexisNexis, olayı kontrol altına aldığını, dış siber güvenlik araştırmacılarıyla iletişime geçtiğini ve ihlali kolluk kuvvetlerine bildirdiğini belirtti. Şirket, olayın kapsamını incelemeye devam ediyor ve uygun olduğunda etkilenen müşterileri bilgilendiriyor.
Tehdit aktör, veri setini şirketin güvenlik uygulamalarını eleştiren bir mesajla birlikte yeraltı forumlarında paylaştı. Saldırganların yeni kurulan bir grup mu yoksa yeni takma adla mevcut bir operatör mü olduğu henüz belirsiz.