LexisNexis-Datenpanne legt 400.000 Konten offen, darunter Bundesrichter und Regierungsanwälte
Ein Angreifer nutzte im Februar 2026 eine ungepatchte Frontend-Schwachstelle in der AWS-Infrastruktur von LexisNexis aus und stahl 2 GB Nutzerdaten, darunter Konten von Bundesrichtern, DOJ-Anwälten und SEC-Mitarbeitern.
VaultTools · 23. März 2026
Foto von Tingey Injury Law Firm auf Unsplash
Inhaltsverzeichnis
- Was geschah
- Wie die Angreifer eindringen konnten
- Wer betroffen war
- Warum Dokumentenplattformen bevorzugte Angriffsziele sind
- Was lokale Verarbeitung verändert
- Quellen
Was Geschah
Am 24. Februar 2026 brach ein unter dem Namen FulcrumSec agierender Angreifer in die Cloud-Infrastruktur von LexisNexis Legal & Professional ein. LexisNexis bestätigte den Vorfall am 3. März 2026. Der Angreifer exfiltrierte 2,04 GB strukturierter Daten, die rund 400.000 Nutzerprofile umfassen.
LexisNexis ist eine der größten Plattformen für juristische Recherche und Dokumentenverarbeitung weltweit. Sie bedient Anwaltskanzleien, Regierungsbehörden und Rechtsabteilungen von Unternehmen in mehr als 160 Ländern.
Wie die Angreifer Eindringen Konnten
FulcrumSec nutzte eine ungepatchte Schwachstelle im React-basierten Frontend von LexisNexis aus, die einer als React2Shell klassifizierten Fehlerklasse angehört. Der Exploit ermöglichte es dem Angreifer, in das AWS-Backend der Plattform einzudringen, wo übermäßig weitreichende IAM-Rollen Zugang zu einer produktiven RDS-Datenbank gewährten.
Das Master-Passwort der RDS-Datenbank lautete „Lexis1234”. Anschließend extrahierte der Angreifer Nutzerprofile in großem Umfang und veröffentlichte einen Auszug der Daten in einem Cyberkriminalitätsforum, bevor LexisNexis eine öffentliche Stellungnahme abgab.
Wer Betroffen War
Unter den 400.000 offengelegten Konten befanden sich:
- 118 Inhaber von E-Mail-Adressen mit der Endung .gov
- Bundesrichter mit aktiven Konten auf der Plattform
- Anwälte des Justizministeriums (DOJ)
- Mitarbeiter der Securities and Exchange Commission (SEC)
- Beschäftigte aus Anwaltskanzleien in Nordamerika und Europa
Zu den offengelegten Datenfeldern gehörten Namen, institutionelle E-Mail-Adressen, Berufsbezeichnungen und Organisationszugehörigkeiten.
Warum Dokumentenplattformen Bevorzugte Angriffsziele Sind
LexisNexis ist genau die Art von Plattform, die Angreifer priorisieren: von hochrangigen Institutionen als vertrauenswürdig eingestuft, gefüllt mit verifizierten Berufsidentitäten und eingebunden in sensible Rechtsabläufe. Ein einziger Einbruch liefert ein Verzeichnis bestätigter Identitäten mit bekannten Funktionen in Regierung und Justiz.
Der Angriff erforderte kein ausgefeiltes Social Engineering. Er erforderte eine ausnutzbare Frontend-Schwachstelle und ein schwaches Datenbankpasswort. Sobald diese Bedingungen erfüllt waren, folgten 400.000 Datensätze.
Cloud-Dokumentenplattformen sammeln Daten, weil das ihrem Geschäftsmodell entspricht. Dateien werden hochgeladen, verarbeitet, gespeichert und über authentifizierte Sitzungen abgerufen. Diese Sitzungen, Zugangsdaten und Server-Datenbanken bilden die Angriffsfläche. Der Angreifer muss nicht das Dateiformat überwinden. Er muss den Dienst selbst überwinden.
Was Lokale Verarbeitung Verändert
Ein Dokumenten-Tool, das Dateien vollständig im Browser mittels WebAssembly verarbeitet, speichert niemals Nutzerdaten auf einem Server. Es gibt keine Nutzerprofil-Datenbank, die exfiltriert werden könnte. Es gibt keine RDS-Instanz, zu der eine Verbindung hergestellt werden könnte. Es gibt keine Sitzungstabelle, die E-Mail-Adressen mit Berufsbezeichnungen verknüpft.
Die LexisNexis-Datenpanne legte 400.000 Konten offen, weil diese Konten auf einem Server existierten. Ein browserbasiertes Tool erstellt keinen serverseitigen Kontodatensatz für eine Dateikonvertierung, Komprimierung oder Zusammenführung. Die Identität des Nutzers wird weder übertragen noch gespeichert.
Die Angriffsfläche eines Cloud-Dienstes ist der Cloud-Dienst selbst. Bei einem browserbasierten Tool ist die Angriffsfläche das eigene Gerät des Nutzers, das bereits unter seiner Kontrolle steht.