LexisNexis确认数据泄露事件 黑客窃取40万条客户记录

2026年3月3日，全球知名的法律和商业信息服务公司LexisNexis Legal & Professional确认遭受数据泄露事件。威胁行为者FulcrumSec在暗网公开了约2GB的公司文件，包含约40万条个人信息记录。

攻击详情

此次攻击利用了React前端应用程序中的React2Shell漏洞，该漏洞存在于未修补的系统中。攻击者通过此漏洞获得了对公司AWS基础设施的未授权访问权限。

泄露数据内容

根据LexisNexis的声明，泄露的数据主要是2020年之前的遗留数据，包括：

• 客户姓名和用户ID
• 业务联系信息
• 使用的产品信息
• 客户调查数据（含受访者IP地址）
• 支持工单记录

LexisNexis强调，此次泄露不包含敏感的 personally identifiable information (PII)，如社会安全号码、驾照号码、财务数据、活跃密码或客户搜索查询记录。

受影响客户

泄露的数据涉及政府机构、律师事务所、保险公司和大学等客户。公司已通知受影响的当前和以前客户，并实施了遏制和补救措施以防止进一步的未授权访问。

公司回应

LexisNexis表示，事件已得到控制，没有证据表明公司的产品或服务遭到破坏。公司已聘请外部网络安全专家并与执法部门合作进行调查。

此次事件凸显了遗留数据和云环境中未修补漏洞所带来的风险。专家建议企业定期审查和更新遗留系统，并实施严格的补丁管理策略。

来源：BleepingComputer、The Record、The Register