黑客泄露文件后，LexisNexis 确认发生新的数据泄露事件

HackerNews 编译，转载请注明出处：

黑客于周二在一个网络犯罪论坛上宣布了此次入侵。根据其声明，他们曾试图向 LexisNexis 勒索但未成功。

LexisNexis 法律与专业解决方案部门代表在向媒体发布的声明中表示，尽管攻击者确实获取了部分服务器的访问权限，但受影响系统主要存储 2020 年之前的旧版及废弃数据。

该公司已确认，客户姓名、用户 ID、商务联系方式、客户调查受访者 IP 地址以及支持工单等信息已遭泄露。

公司表示：“LexisNexis 法律与专业解决方案部门已对一起安全事件展开调查，根据目前的调查与检测，我们认为事件已得到控制。没有证据表明我们的产品和服务遭到入侵或受到影响。”

黑客称，他们利用了 React2Shell 漏洞以及安全配置不当的 AWS 实例，访问并窃取了超过 2GB 的数据。据称此次网络攻击发生于上周。

威胁组织声称获取了数百万条数据记录，包括企业账户数据、员工凭证、软件开发密钥，以及 40 万人的个人信息，其中包括 100 余名使用 .gov 邮箱地址的人员。泄露的个人信息包括姓名、电话号码、电子邮箱地址和职务。

这并非 LexisNexis 近年来首次遭遇数据泄露。LexisNexis 风险解决方案部门去年证实，2024 年一起第三方入侵事件导致超过 36 万人的信息被盗。

消息来源：securityweek.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文