Die amerikanische Firma LexisNexis Legal & Professional - bekannt für die Bereitstellung von Informationen, Forschung und Analyse-Tools an Büros, Unternehmen, Regierungen und Universitäten auf der ganzen Welt - hat unberechtigten Zugriff auf einen Teil ihrer Server, nach spezialisierten Reporter bestätigt. Der Vorfall kam ans Licht, nachdem ein Schauspieler namens FulcrumSec einen Umsturz von ca. 2 GB in Foren und Standorten des unterirdischen Netzwerks veröffentlichte, der auf die Exfiltration von Daten in der Infrastruktur des Unternehmens zurückzuführen war.
Das Unternehmen erkennt die Störung an, stellt aber sicher, dass die daraus gewonnenen Informationen meist vererbten Daten und nicht empfindlichen aktiven Daten entsprechen. Die den Medien zur Verfügung gestellte Kommunikation LexisNexis weist darauf hin, dass die betroffenen Dateien Vor-2020-Aufzeichnungen und Dateien enthalten, mit Elementen wie Kundennamen, Benutzerkennzeichen, Geschäftskontakte, Umfragen und Support-Tickets. Nach Angaben des Unternehmens gibt es keine Aufzeichnungen über das Engagement von Sozialversicherungsnummern, Finanzdaten, aktiven Passwörtern, Kundensuche oder bestehende Aufzeichnungen oder Verträge.
Andererseits hat die FulcrumSec-Gruppe technische Details über die Operation und die Größe dessen veröffentlicht, was sie behaupten, erhalten zu sein. In ihrer Ankündigung erwähnen sie, dass sie "2.04 GB" von strukturierten Daten ausgefiltert haben und den Zugriff auf Redshifts Instanzen, zahlreiche VPC-Datenbanktabellen, die Geheimnisse des AWS Secrets Managers in flachem Text, Millionen von Datensätzen und Zehntausenden von Kundenkonten sowie Cloud-Infrastrukturkarten und Mitarbeiterkennwörter Hashes beschreiben. Sie behaupten auch, dass unter den Profilen, die entfernt wurden, mehr als hundert .gov-Domänen-Mail-Adressen, einschließlich Konten verbunden mit Bundesbediensteten, Mitglieder der Justiz und Mitarbeiter von Agenturen wie dem Justizministerium und dem SEC.
Laut dem Konto des Angreifers trat die Lücke aus der Ausnutzung einer Schwachstelle in einer nicht gepatelten React-basierten Frontanwendung auf, die den Zugriff auf eine Containeraufgabe mit der Erlaubnis ermöglicht hätte, mit der AWS-Infrastruktur zu interagieren. Diese Beschreibung zeigt eine Kette von Fehlern: vom Mangel an Software-Update bis hin zu übermäßigen Cloud-Rollenkarten, die eine scheinbar "kundenseitige" Schwachstelle in einen Einstiegspfad zu kritischen Unternehmensdaten verwandeln können.
Die Cloud-Architektur erfordert strenge Sicherheitskontrollen und das Prinzip des Mindestvorteils. Wenn eine Containeraufgabe (ECS Task role in AWS) umfangreiche Berechtigungen zum Lesen von Geheimnissen oder zur Verwaltung von Datenbanken hat, kann ein Betrieb einer bereitgestellten Anwendung schnell bis zu tieferen Verpflichtungen skaliert werden. AWS bietet Dokumentation über bewährte Praktiken für Aufgabenrollen und Geheimverwaltung, die dazu beitragen, diese Risiken zu mindern; es ist nützlich, sie zu überprüfen, um Auswirkungen Reduktionsmaßnahmen in ähnlichen Umgebungen zu verstehen ( Aufgaben in ECS, AWS Secrets Manager, Amazon Redshift)
LexisNexis hat Sicherheitskräfte gemeldet, externe Cyber-Sicherheitsexperten für Forschung und Eindämmung eingestellt und berichtet die Situation sowohl für aktuelle als auch alte Kunden. In seiner öffentlichen Reaktion betont das Unternehmen, dass nach seinen Untersuchungen die Intrusion enthalten war und es keine Auswirkungen auf die Produkte und Dienstleistungen im Einsatz gab. Die Gruppe, die die Daten veröffentlichte, kritisierte die Zugriffspraktiken und erlaubt im AWS-Konto, die nach ihrer Version das Lesen von kritischen Geheimnissen von einer einzigen Aufgabe in Containern erlaubt.
Für Einzelpersonen und Organisationen, die beteiligt sein können, ist die erste Empfehlung mit Vorsicht zu handeln: Obwohl LexisNexis feststellt, dass die sensiblen Elemente nicht betroffen waren, bedeutet das Vorhandensein von .gov-Adressen und Kontaktdaten ein Ruf- und Betriebsrisiko. Es ist angemessen, die Überwachung gezielter Phishing-Ansätze zu stärken, den ungewöhnlichen Zugang zu verwandten Konten zu überwachen und gegebenenfalls die Wiederherstellung von alten Anmeldeinformationen zu zwingen, die Multifaktor-Authentifizierung zu aktivieren und Berechtigungen und Warnungen in Cloud-Diensten zu überprüfen.
Diese Folge zeigt auch eine umfassendere Lektion über Datenanbieter und vertrauenswürdige Modelle. Unternehmen, die Informationen hinzufügen und Dritten zur Verfügung stellen, werden zu attraktiven Zielen für Angreifer: Ein Leck kann Kunden, Mitarbeiter und Dritte, die durch eine Nutzungskette verbunden sind, beeinflussen. Aus diesem Grund ist es wichtig, dass Lieferanten Sicherheitsrichtlinien in vollem Umfang implementieren: webbasierte Anwendungen hrending, dringende Updates zu Sicherheitslücken, Netzwerksegmentierung, Rotation und strenge Verschlüsselung von Geheimnissen und regelmäßige Audits von Cloud-Berechtigungen. Öffentliche Cybersicherheitsbehörden erinnern an die Bedeutung dieser Maßnahmen und bieten Leitlinien und Ressourcen für das Risikomanagement in vernetzten Umgebungen ( CISA)
Der Vorfall kommt nicht im Vakuum für LexisNexis: Im Vorjahr meldete das Unternehmen eine weitere Intrusion, die Hunderttausende von Kunden beeinflusste. Für seine Nutzer und für jede von externen Lieferanten abhängige Organisation unterstreicht die Anhäufung ähnlicher Episoden die Notwendigkeit, Transparenz, vertragliche Sicherheitskontrollen und regelmäßige Resilienztests zu verlangen. Lieferanten sollten in der Lage sein, nicht nur zu zeigen, dass sie auf Vorfälle erkennen und reagieren, sondern dass sie die Möglichkeit minimieren, dass ein Ausfall in einem Bauteil kritische Daten kompromittieren lässt.
Für diejenigen, die die journalistische Erfassung dieser Veranstaltung vertiefen wollen, finden sich die ersten Berichte, die der Geschichte gefolgt sind und die sowohl die Bestätigung von LexisNexis als auch die Veröffentlichung der Gruppe widerspiegeln, die die Intrusion erhielt, in spezialisierten Sicherheitsmedien, da BlepingComputer. Auch die Überprüfung der technischen Dokumentation von Cloud-Anbietern kann dazu beitragen, die Vektoren zu verstehen, die solche Vorkommnisse oft erleichtern und die spezifischen Maßnahmen, um sie zu mindern.
Kurz gesagt, obwohl das Unternehmen versucht, sich zu versichern, dass die Daten meist historisch sind und keine finanziellen Informationen oder aktiven Passwörter enthalten, die Veröffentlichung des Materials durch Dritte und die Behauptungen über den Umfang und die damit verbundenen Profile erfordern, dass die Aufmerksamkeit erhalten bleibt. Im Bereich der Cybersicherheit bleiben Vorsicht und proaktive Handlung die besten Abwehre für die Möglichkeit, dass scheinbar "harmlose" Daten zu Hebeln für anspruchsvollere Angriffe werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...