Rò rỉ dữ liệu nghiêm trọng tại LexisNexis từ lỗ hổng

Một tác nhân đe dọa với biệt danh FulcrumSec đã công khai tuyên bố chịu trách nhiệm về một vụ xâm nhập mới vào LexisNexis Legal & Professional, bộ phận thông tin pháp lý của RELX Group. Vụ tấn công này dẫn đến rò rỉ dữ liệu lớn từ cơ sở hạ tầng đám mây AWS của công ty.

Theo cáo buộc, đã có 2.04 GB dữ liệu có cấu trúc bị đánh cắp trong sự cố an ninh mạng này.

Chi tiết Vụ Khai Thác và Xâm Nhập Hệ Thống

Khai Thác Lỗ Hổng React2Shell

Bài đăng của FulcrumSec, công bố vào ngày 3 tháng 3 năm 2026, cho biết quyền truy cập ban đầu được thiết lập vào ngày 24 tháng 2. Điều này được thực hiện thông qua việc khai thác lỗ hổng React2Shell.

Lỗ hổng này tồn tại trong một ứng dụng frontend React chưa được vá lỗi của LexisNexis. Theo báo cáo, công ty đã bỏ qua việc khắc phục lỗ hổng này trong nhiều tháng.

Thông tin chi tiết về lỗ hổng React2Shell có thể tham khảo thêm tại Cyber Security News.

Phạm Vi Xâm Nhập và Quyền Truy Cập

Kẻ tấn công đã lợi dụng một container tác vụ LawfirmsStoreECSTaskRole ECS bị xâm nhập.

Container này được cấp quyền truy cập đọc vào một loạt các hệ thống nhạy cảm của LexisNexis.

Các tài nguyên bị ảnh hưởng bao gồm kho dữ liệu sản xuất Redshift, 17 cơ sở dữ liệu VPC, AWS Secrets Manager, và nền tảng khảo sát Qualtrics. Việc cấp quyền rộng rãi như vậy cho thấy một điểm yếu nghiêm trọng trong cấu hình an ninh mạng.

Điểm Yếu Bảo Mật và Cấu Hình Sai trong Môi Trường AWS

Tác nhân đe dọa đã chỉ trích mạnh mẽ tư thế bảo mật của công ty.

Một trong những điểm yếu đáng chú ý là mật khẩu quản trị chính của RDS được đặt là “Lexis1234”.

Điều này cho thấy sự thiếu sót nghiêm trọng trong thực hành quản lý mật khẩu. Một vai trò tác vụ duy nhất được cấp quyền đọc đối với mọi bí mật trong tài khoản AWS, bao gồm cả thông tin xác thực chính của cơ sở dữ liệu sản xuất.

Việc này tạo ra một rủi ro bảo mật lớn, cho phép kẻ tấn công có khả năng truy cập vào nhiều hệ thống quan trọng khác nhau, dẫn đến khả năng rò rỉ dữ liệu quy mô lớn.

Dữ liệu Bị Rò Rỉ và Tác Động Nghiêm Trọng

Phạm Vi Rò Rỉ Dữ liệu Nhạy Cảm

FulcrumSec khẳng định đã thu thập được hồ sơ của khoảng 400.000 người dùng đám mây. Các hồ sơ này chứa thông tin cá nhân bao gồm tên thật, địa chỉ email, số điện thoại và chức năng công việc.

Đặc biệt, trong số này, có 118 tài khoản sử dụng địa chỉ email .gov. Các tài khoản này thuộc về các thẩm phán liên bang, thư ký tòa án liên bang, luật sư Bộ Tư pháp Hoa Kỳ và nhân viên SEC Hoa Kỳ.

Sự rò rỉ dữ liệu này ảnh hưởng đến các cá nhân có vị trí nhạy cảm, làm tăng mức độ nghiêm trọng của vụ việc.

Thông Tin Hạ Tầng và Bí Mật Bị Đánh Cắp

Kẻ tấn công cũng tuyên bố đã thu được một bản đồ hoàn chỉnh về cơ sở hạ tầng VPC (Virtual Private Cloud).

Đồng thời, toàn bộ dữ liệu từ AWS Secrets Manager đã bị đánh cắp, bao gồm 53 bí mật ở dạng văn bản thuần (plaintext). Việc thu được bản đồ VPC và các bí mật này cho phép kẻ tấn công hiểu rõ hơn về kiến trúc mạng và có khả năng truy cập sâu hơn vào các tài nguyên khác.

Đây là một cuộc rò rỉ dữ liệu nghiêm trọng, phơi bày những thông tin cốt lõi về cấu hình hệ thống.

Bối Cảnh và Quan Ngại về An Ninh Mạng

Sự Khác Biệt Với Sự Cố Trước Đó

FulcrumSec đã nhấn mạnh rằng vụ tấn công này không liên quan đến vụ xâm nhập GitHub vào tháng 12 năm 2024.

Trong vụ việc trước đó, một bên không được phép đã đánh cắp dữ liệu cá nhân, bao gồm số an sinh xã hội của hơn 364.000 cá nhân, thông qua nền tảng phát triển phần mềm của bên thứ ba của LexisNexis.

Việc phân biệt rõ ràng hai sự cố này giúp tránh nhầm lẫn về nguồn gốc và phạm vi của từng vụ rò rỉ dữ liệu.

Quan Ngại Về Lỗ Hổng An Ninh Mạng Hệ Thống

Sự tái diễn của các vụ vi phạm bảo mật đặt ra những lo ngại đáng kể về các lỗ hổng an ninh mang tính hệ thống.

Đây là vấn đề nghiêm trọng đối với một trong những kho lưu trữ dữ liệu pháp lý nhạy cảm nhất thế giới. Việc liên tục gặp phải các sự cố rò rỉ dữ liệu chỉ ra rằng cần có một đánh giá toàn diện về các biện pháp bảo mật hiện tại.

Các tổ chức cần xem xét lại chiến lược an ninh mạng của mình để ngăn chặn các cuộc tấn công tương tự trong tương lai và bảo vệ dữ liệu nhạy cảm một cách hiệu quả.