データ分析大手のLexisNexisは、Fulcrumsecサイバー犯罪グループがハックの責任を主張した数日後に、法務・専門部門がデータ漏洩を受けたことを確認しました。
調査の結果、LexisNexisはThe Registerに対し、この問題は現在封じ込められており、製品もサービスも一度も危険にさらされていないと述べました。ただし、同社はクリーンアップを管理するために第三者のデジタル法医学チームを導入することを余儀なくされました。
スポークスパーソンは、「限定的な数のサーバ」のみがアクセスされ、そこに保存されていたデータは「主に2020年以前のレガシー、廃止されたデータ」だったと述べました。
これには顧客名、ユーザーID、ビジネス連絡先情報、使用製品、回答者のIPアドレス付き顧客調査、およびサポートチケットが含まれていました。
「影響を受けた情報には、社会保障番号、運転免許証番号、またはその他の機密個人識別情報は含まれていません。クレジットカード、銀行口座、またはその他の金融情報も含まれていません。アクティブなパスワードも含まれていません。または顧客の検索クエリ、顧客クライアントまたは事項情報、顧客契約も含まれていません」とスポークスパーソンは付け加えました。
「顧客情報を保護する責任を非常に真摯に受け止めており、この問題について影響を受けた現在および以前の顧客に通知しています。我々は調査を継続しており、専門家のサイバーセキュリティ法医学企業と協力して封じ込めと修復対策を実施しています。」
LexisNexisはブレーチの規模についてコメントしませんでしたが、Fulcrumsecは会社を公開的に恥じさせる努力の中でこれに対する見方を提供しました。
犯人のリスト(2GB強の企業データが含まれていると主張)によると、Fulcrumsecは脆弱なReactコンテナを悪用することで、LexisNexis AWSインスタンスからファイルを外部流出させたと考えています。具体的には、パッチが当たっていないReact2Shellの脆弱性です。
リストは、データダンプに名前、メール、電話番号を含む個人識別情報(PII)を含む400,000のクラウドユーザープロファイルが含まれていると主張しています。これは未確認です。また、118以上が米国政府職員に属しているように見えると主張しており、連邦裁判官、司法省弁護士、SEC職員、および裁判所書記官が含まれています。
他のファイルには、17個のVPCデータベースと430以上のVPCデータベーステーブル、536個のRedshiftテーブル、390万個のデータベースレコード、およびAWS Secrets Managerから盗まれた53個のシークレットが含まれていると、Fulcrumsecは主張しています。
サイバークルーは、政府機関、保険会社、法律事務所、および大学に属する21,000以上の顧客アカウントレコードが流出したと主張しています。
さらに、ダンプに含まれる300,000以上のレコードが顧客契約に関連し、個々の組織が支払う製品、関連する更新日、および価格層を明かしていると主張しています。
「これは完全な商業的関係データベースです」とFulcrumsecは書きました。「Gibson DunnがLexis Advanceに支払う正確な金額を知りたい場合、またはSECがどの製品にサブスクライブしているか、またはEllen MacArthur Foundationがどのニュースデスクパッケージを使用しているか – それはすべてここにあります。」
いつものように、犯人の主張は懐疑的に受け取られるべきです。®
