El grupo FulcrumSec explotó una vulnerabilidad React2Shell para acceder a datos de clientes y de negocio. La filtración incluye perfiles de 400,000 usuarios y datos de empleados del gobierno de EE.UU.
LexisNexis Legal & Professional, el gigante estadounidense de análisis de datos, confirmó una brecha de seguridad en sus servidores que resultó en el acceso a información de clientes y de la empresa. La confirmación llega después de que el actor de amenazas conocido como FulcrumSec publicara 2GB de archivos presuntamente robados en foros clandestinos, detallando una intrusión que comenzó el 24 de febrero.
Los atacantes afirman haber obtenido acceso a la infraestructura de Amazon Web Services (AWS) de la compañía explotando una vulnerabilidad conocida como React2Shell en una aplicación frontend de React que no había sido parcheada.
Aunque LexisNexis ha intentado minimizar el impacto, declarando que los datos comprometidos son "en su mayoría heredados y obsoletos, de antes de 2020", la versión de los atacantes pinta un cuadro mucho más grave. FulcrumSec asegura haber exfiltrado 2.04 GB de datos estructurados, que incluyen 3.9 millones de registros de bases de datos, información de 21,042 cuentas de clientes y perfiles de aproximadamente 400,000 usuarios en la nube con nombres reales, correos electrónicos y números de teléfono. De forma alarmante, entre los datos figuran más de 100 usuarios con direcciones de correo .gov, pertenecientes a empleados del gobierno de EE.UU., jueces federales, abogados del Departamento de Justicia y personal de la SEC.
El vector de ataque, según la publicación de FulcrumSec, fue un contenedor React vulnerable que otorgaba un acceso excesivamente permisivo. Los atacantes criticaron duramente las prácticas de seguridad de la compañía, señalando que un único rol de tarea de ECS (Elastic Container Service) tenía permisos de lectura para todos los secretos de la cuenta, incluida la credencial maestra de la base de datos de producción en Redshift. Esto les permitió acceder a 53 secretos de AWS Secrets Manager en texto plano, tablas de bases de datos de VPC y mapear por completo la infraestructura de la nube virtual de la empresa.
En su comunicado, LexisNexis afirmó que la información afectada no incluía números de Seguro Social, licencias de conducir, información financiera, contraseñas activas o consultas de búsqueda de clientes. La compañía ha notificado a las fuerzas del orden, ha contratado a una firma externa de ciberseguridad para la investigación y ha comenzado a informar a los clientes actuales y anteriores afectados.
Este incidente no es el primero para la empresa, en 2025 su división LexisNexis Risk Solutions reveló una brecha que afectó a más de 364,000 personas, aunque FulcrumSec ha declarado que su ataque actual no está relacionado con ese evento previo.
El verdadero riesgo de esta filtración reside en el potencial para ataques de ingeniería social y phishing altamente dirigidos. Con acceso a nombres, cargos, información de contacto empresarial y los productos específicos que utilizan bufetes de abogados y agencias gubernamentales, los adversarios pueden construir señuelos extremadamente convincentes.
La exposición de datos de empleados del sector público y del sistema judicial eleva el nivel de amenaza, ya que esta información puede ser armada para campañas de espionaje o para comprometer redes gubernamentales críticas. Aunque los datos sean "heredados", su valor para un atacante bien preparado no disminuye, transformándose en una llave maestra para futuras intrusiones.
FUENTE ORIGINAL
BleepingComputer↗CURADO POR
Alejandro Vargas