LexisNexis hat eine Datenpanne bestätigt, bei der Hacker etwa 2 GB Daten erbeuteten, darunter persönliche Informationen von 400.000 Personen. Das Unternehmen stuft die Auswirkungen als begrenzt ein.
Der Rechts- und Risikomanagement-Spezialist LexisNexis hat einen Datenleck bestätigt, nachdem Cyberkriminelle gestohlene Daten aus seinen Systemen in einem Hackerform veröffentlicht haben. Allerdings betont das Unternehmen, dass der Umfang des Vorfalls überschaubar sein soll.
Die Angreifer kündigten die Sicherheitsverletzung am Dienstag in einem Cybercrime-Forum an. Nach eigenen Angaben versuchten sie, LexisNexis zu erpressen – ohne Erfolg.
Wie LexisNexis Legal & Professional mitteilte, gelangten die Attackanten zwar auf einige Server, die betroffenen Systeme enthielten jedoch hauptsächlich veraltete Daten von vor 2020. Das Unternehmen bestätigte, dass Kundennamen, Benutzer-IDs, geschäftliche Kontaktdaten, IP-Adressen von Umfrageteilnehmern und Support-Tickets kompromittiert wurden.
“Unsere Ermittlungen deuten darauf hin, dass der Vorfall enthalten ist”, erklärte das Unternehmen. “Wir haben keine Hinweise auf Beeinträchtigungen unserer Produkte und Dienstleistungen.”
Den Hackern zufolge exploitierten sie die React2Shell-Schwachstelle und unsicher konfigurierte AWS-Instanzen, um mehr als 2 GB Daten abzuziehen. Der Angriff fand angeblich letzte Woche statt. Die Cyberkriminellen behaupten, Millionen von Datensätzen erbeutet zu haben – darunter Unternehmenskonten, Mitarbeiterzugangsdaten, Entwicklungsgeheimnisse sowie persönliche Informationen von 400.000 Menschen, über 100 davon mit .gov-E-Mail-Adressen. Die gestohlenen Daten umfassen Namen, Telefonnummern, E-Mail-Adressen und Jobbezeichnungen.
Dies ist nicht der erste Sicherheitsvorfall bei LexisNexis in den letzten Jahren. Im Vorjahr bestätigte LexisNexis Risk Solutions einen Angriff auf einen Drittanbieter von 2024, bei dem Informationen von über 360.000 Personen gestohlen wurden.
Quelle: SecurityWeek