اختراق ليكسيس نيكسيس يكشف ثغرات السحابة: قراصنة يسرّبون بيانات تخص حسابات حكومية

العنوان الفرعي: استغلت مجموعة إجرامية إلكترونية ثغرة سحابية لشفط غيغابايتات من البيانات القديمة من ليكسيس نيكسيس، بما في ذلك تفاصيل مستخدمين تابعين للحكومة الأمريكية.

في صباح هادئ من شهر فبراير، أصبحت ليكسيس نيكسيس - إحدى أكبر مزوّدي المعلومات القانونية والتجارية في العالم - أحدث ضحية في سلسلة من الهجمات السحابية المتطورة. وقبل أن يدرك أيّ شخص في الشركة ما يحدث، كانت مجموعة قرصنة تُدعى FulcrumSec قد تجاوزت الدفاعات الرقمية، وهرّبت كميات ضخمة من البيانات الحساسة، مُرسلةً موجات صدمة عبر القطاعات القانونية والشركات والجهات الحكومية.

حقائق سريعة

استغل القراصنة تطبيق React غير مُرقّع لاختراق بنية ليكسيس نيكسيس على AWS.
سُرق 2.04 غيغابايت من البيانات، بما في ذلك معلومات مرتبطة بأكثر من 100 مستخدم حكومي أمريكي.
شملت التفاصيل المسرّبة أسماءً وبريدًا إلكترونيًا ووظائف عمل وكلمات مرور موظفين مُجزّأة (هاش).
تقول ليكسيس نيكسيس إن البيانات المخترقة كانت قديمة فقط، قبل 2020 - ولا تتضمن بيانات مالية أو معلومات تعريف شخصية حساسة.
احتوت الشركة الاختراق وأبلغت جهات إنفاذ القانون والعملاء المتأثرين.

الاختراق، الذي أكدته LexisNexis Legal & Professional، يعود إلى إغفال بالغ الخطورة: ثغرة غير مُرقّعة تُعرف باسم React2Shell في تطبيق الواجهة الأمامية. وقد وفّرت هذه الثغرة لـ FulcrumSec موطئ قدم داخل بنية الشركة السحابية على Amazon Web Services (AWS)، ما أتاح لهم شفط مخزون هائل من البيانات المُهيكلة - يتجاوز 2 غيغابايت إجمالًا.

ومن بين الغنيمة: 536 جدولًا في Redshift، وأكثر من 400,000 ملف تعريف مستخدم، وبيانات تخص 118 مستخدمًا بعناوين بريد إلكتروني تنتهي بـ .gov - كثيرون منهم يعملون لدى وكالات حكومية أمريكية ومحاكم فيدرالية ووزارة العدل. كما تمكن القراصنة من الوصول إلى أسرار AWS بنصّ واضح، وكلمات مرور موظفين مُجزّأة (هاش)، وخريطة تفصيلية للبنية الافتراضية السحابية لدى ليكسيس نيكسيس.

وعلى الرغم من الحجم والاتساع، تؤكد ليكسيس نيكسيس أن البيانات المسروقة كانت «في معظمها بيانات قديمة ومهملة من ما قبل 2020». وتصرّ الشركة على أن أرقام الضمان الاجتماعي أو التفاصيل المصرفية أو كلمات المرور النشطة لم تكن ضمن البيانات، وأن أيًا من المنتجات أو الخدمات الحالية لم يتأثر مباشرة. بدلًا من ذلك، تتركز المعلومات المخترقة على أسماء العملاء ومعرّفات المستخدمين وجهات الاتصال التجارية وإجابات الاستبيانات وتذاكر الدعم - وهي بيانات قد لا تكون كارثية فورًا، لكنها قد تُستخدم في التصيّد والهندسة الاجتماعية أو تمهيدًا لهجمات لاحقة.

FulcrumSec، التي سرّبت البيانات على منتديات تحت الأرض، انتقدت وضع الأمن لدى ليكسيس نيكسيس، مشيرةً إلى صلاحيات مفرطة سمحت لدور واحد بوصول واسع إلى أسرار حساسة. ويزعم القراصنة أنهم تواصلوا مع ليكسيس نيكسيس، لكنهم لم يتلقوا أي تعاون. وردًا على ذلك، استعانت ليكسيس نيكسيس بخبراء خارجيين في الأمن السيبراني وأبلغت جهات إنفاذ القانون، كما أخطرت العملاء الحاليين والسابقين.

يأتي هذا الحادث بعد اختراق مماثل العام الماضي، حين تمكن مهاجمون من الوصول إلى بيانات حساسة تخص 364,000 من عملاء ليكسيس نيكسيس. ويثير هذا النمط تساؤلات حول ممارسات أمن السحابة لدى الشركة، لا سيما أن عملاءها من القطاعات القانونية والمالية والحكومية يعتمدون على منصاتها لأعمال حساسة.

ومع تسارع اعتماد السحابة عبر الصناعات، يُعد اختراق ليكسيس نيكسيس تذكيرًا صارخًا: حتى البيانات القديمة، إذا أُهملت أو أُمنت بشكل سيئ، يمكن أن تتحول إلى منجم ذهب للمجرمين الإلكترونيين. وقد يكون الدرس الحقيقي أن الأمن في العصر الرقمي لا يكون أقوى من أضعف حلقة - وأكثرها تقادمًا.

WIKICROOK

React2Shell: React2Shell هي ثغرة في React Server Components قد تتيح للمهاجمين تنفيذ شيفرة غير مصرح بها على الخوادم المتأثرة، ما يعرّضها لاختراقات أمنية.
AWS (Amazon Web Services): AWS (Amazon Web Services) منصة سحابية رائدة تخزن فيها الشركات البيانات وتشغّل التطبيقات عن بُعد، ما يقلل الحاجة إلى خوادم مادية.
Redshift: Redshift هو مستودع بيانات سحابي من أمازون لتخزين مجموعات البيانات الكبيرة والاستعلام عنها وتحليلها، ويُستخدم غالبًا في تحليلات الأمن ومراقبة الامتثال.
Secrets Manager: مدير الأسرار يخزن المعلومات الحساسة مثل كلمات المرور ومفاتيح API والشهادات بشكل آمن، ويديرها ويتحكم في الوصول إليها لتحسين الأمن السيبراني.
Hashed Password: كلمة المرور المُجزّأة (هاش) هي كلمة مرور حُوّلت إلى رمز مُشوّش باستخدام دالة تجزئة، ما يجعلها غير مقروءة وأكثر أمانًا ضد الوصول غير المصرح به.