Violazione di LexisNexis mette a nudo le falle del cloud: gli hacker diffondono dati su account governativi

In una tranquilla mattina di febbraio, LexisNexis - uno dei maggiori fornitori al mondo di informazioni legali e aziendali - è diventata l’ultima vittima di una serie di sofisticati attacchi al cloud. Prima che qualcuno in azienda se ne rendesse conto, un collettivo di hacker chiamato FulcrumSec era riuscito a superare le difese digitali, esfiltrando enormi quantità di dati sensibili e provocando onde d’urto nei settori legale, corporate e governativo.

La violazione, confermata da LexisNexis Legal & Professional, risale a una svista critica: una vulnerabilità non corretta nota come React2Shell in un’applicazione front-end. Questa falla ha fornito a FulcrumSec un punto d’appoggio nell’infrastruttura cloud Amazon Web Services (AWS) dell’azienda, consentendo loro di sottrarre un impressionante archivio di dati strutturati - oltre 2 GB in totale.

Tra il bottino: 536 tabelle Redshift, più di 400.000 profili utente e dati su 118 utenti con indirizzi email .gov - molti dei quali lavorano per agenzie del governo degli Stati Uniti, tribunali federali e il Dipartimento di Giustizia. Gli hacker hanno inoltre avuto accesso a segreti AWS in chiaro, password dei dipendenti sottoposte ad hashing e a una mappa dettagliata dell’infrastruttura cloud virtuale di LexisNexis.

Nonostante dimensioni e portata, LexisNexis sottolinea che i dati sottratti erano “per lo più dati legacy, deprecati, precedenti al 2020”. L’azienda insiste che non erano inclusi numeri di Social Security, dettagli bancari o password attive, e che nessun prodotto o servizio attuale è stato colpito direttamente. Le informazioni compromesse riguardano invece nomi dei clienti, ID utente, contatti business, risposte a sondaggi e ticket di supporto - dati che, pur non essendo immediatamente catastrofici, potrebbero comunque essere usati per phishing, social engineering o ulteriori attacchi.

FulcrumSec, che ha diffuso i dati su forum underground, ha criticato la postura di sicurezza di LexisNexis, citando permessi eccessivi che avrebbero consentito a un singolo ruolo un accesso ampio a segreti sensibili. Gli hacker sostengono di aver contattato LexisNexis, ma di non aver ricevuto collaborazione. In risposta, LexisNexis ha coinvolto esperti esterni di cybersecurity e ha informato le forze dell’ordine, avvisando sia i clienti attuali sia quelli passati.

Questo episodio segue una violazione simile dello scorso anno, quando degli attaccanti hanno avuto accesso a dati sensibili appartenenti a 364.000 clienti di LexisNexis. Il pattern solleva interrogativi sulle pratiche di sicurezza cloud dell’azienda, soprattutto mentre clienti legali, finanziari e governativi dipendono dalle sue piattaforme per attività delicate.

Con l’adozione del cloud che accelera in tutti i settori, la violazione di LexisNexis è un monito netto: anche i dati legacy, se trascurati o protetti male, possono diventare una miniera d’oro per i cybercriminali. La vera lezione potrebbe essere che, nell’era digitale, la sicurezza è forte solo quanto l’anello più debole e più obsoleto.

WIKICROOK

• React2Shell: React2Shell è una vulnerabilità nei React Server Components che può consentire agli attaccanti di eseguire codice non autorizzato sui server interessati, con il rischio di violazioni della sicurezza.
• AWS (Amazon Web Services): AWS (Amazon Web Services) è una piattaforma cloud di primo piano in cui le aziende archiviano dati ed eseguono applicazioni da remoto, riducendo la necessità di server fisici.
• Redshift: Redshift è il data warehouse cloud di Amazon per archiviare, interrogare e analizzare grandi dataset, spesso usato per analisi di sicurezza e monitoraggio della conformità.
• Secrets Manager: Un secrets manager archivia, gestisce e controlla in modo sicuro l’accesso a informazioni sensibili come password, chiavi API e certificati, per una cybersecurity migliore.
• Password sottoposta ad hashing: Una password sottoposta ad hashing è una password trasformata in un codice confuso tramite una funzione di hash, rendendola illeggibile e protetta da accessi non autorizzati.