LexisNexis数据泄露确认：黑客外泄敏感信息，涉及联邦法官和司法部官员

全球法律信息服务巨头LexisNexis近日确认遭受数据泄露，黑客通过AWS基础设施漏洞窃取约2GB数据，其中包括超过100个.gov邮箱账户，涉及联邦法官、司法部官员和SEC工作人员。这已是该公司近一年内的第二起重大安全事件。

事件概述

LexisNexis Legal & Professional（以下简称LexisNexis）是一家全球领先的法律、监管和商业信息提供商，其服务覆盖150多个国家的律师事务所、企业、政府机构和学术研究机构。然而，这家拥有海量敏感法律数据的企业近日承认遭到黑客入侵。

威胁攻击者FulcrumSec在多个地下论坛泄露了约2GB的被盗文件。根据其公布的详情，攻击者于2025年2月24日通过利用未修补的React前端应用程序中的React2Shell漏洞，成功访问了LexisNexis的AWS云基础设施。

LexisNexis在给BleepingComputer的声明中确认：“我们的调查已证实，一个未授权方访问了有限数量的服务器。”公司表示，这些服务器主要存放的是2020年之前的遗留废弃数据，包括客户姓名、用户ID、业务联系信息、使用的产品、包含受访者IP地址的客户调查以及支持工单等。

泄露数据深度分析

根据FulcrumSec公布的入侵细节，被盗数据结构规模令人震惊：

更为关键的是，攻击者声称还访问了约40万个云用户配置文件，其中包含真实姓名、电子邮件、电话号码和职位信息。在这些账户中，有118个使用.gov邮箱，涉及美国政府雇员、联邦法官和书记员、司法部律师以及SEC工作人员。

FulcrumSec在帖子中批评LexisNexis的安全实践允许单个ECS任务角色“读取账户中的每个密钥，包括生产Redshift主凭据”。

LexisNexis的回应与后续措施

LexisNexis强调，泄露的信息不包含以下敏感数据：

• 社会安全号码
• 驾驶执照号码
• 信用卡或银行账户信息
• 活跃密码
• 客户搜索查询
• 客户委托或案件信息
• 客户合同

公司表示已完成调查并控制住了入侵事件，目前没有证据表明产品或服务受到影响。LexisNexis已通知执法部门，并聘请外部网络安全专家协助调查和实施安全措施。

然而，这一说法与黑客公布的详细数据形成鲜明对比，再次引发了关于企业数据泄露信息披露透明度问题的讨论。

法律数据安全风险反思

这并非LexisNexis首次发生数据泄露事件。2024年12月，该公司Risk Solutions部门就曾因第三方开发平台被入侵，导致36.4万人的信息被盗——该公司直到2025年才发现这一漏洞。

法律行业数据保护的隐忧

LexisNexis泄露事件为法律行业敲响了警钟：

敏感人群高度集中：泄露数据涉及法官、律师、司法官员等法律体系核心人员，其信息泄露可能带来远超普通数据泄露的影响。

云基础设施风险：本次攻击暴露了企业云安全配置的普遍问题——过度宽松的权限配置使得单一漏洞可以造成大规模数据外泄。

遗留系统隐患：LexisNexis承认泄露数据多为2020年前的遗留系统，这些老旧系统往往缺乏现代安全防护，却仍在企业环境中运行。

企业应对建议

对于法律服务机构和持有敏感数据的企业而言，本次事件提供了重要教训：

1. 及时修补漏洞：React2Shell漏洞已被公开利用，企业应建立快速的漏洞响应机制
2. 最小权限原则：云资源访问应遵循最小权限原则，避免单点故障导致全面沦陷
3. 数据分类管理：对敏感数据进行分级分类， legacy系统数据应定期评估和清理
4. 主动监控：加强异常访问行为的实时监控能力，缩短发现时间窗口

LexisNexis数据泄露事件再次提醒我们，在数字化时代，即使是行业领军企业也难以完全避免安全威胁。对于持有大量敏感个人和法律数据的企业而言，安全防护不再是可选项，而是必须持续投入的基础设施。