LexisNexis Diduga Diretas, 2 GB Data dari AWS Diklaim Bocor

Insiden keamanan siber kembali menimpa perusahaan penyedia data hukum global, LexisNexis. Seorang pelaku ancaman siber yang menggunakan nama samaran FulcrumSec mengklaim berhasil membobol sistem LexisNexis Legal & Professional, divisi penyedia informasi hukum milik RELX Group, dan mencuri sekitar 2,04 gigabyte data terstruktur dari infrastruktur cloud perusahaan.

Dalam pernyataan yang dipublikasikan pada 3 Maret 2026, FulcrumSec menyebut akses awal ke sistem perusahaan diperoleh pada 24 Februari 2026 dengan memanfaatkan kerentanan keamanan bernama React2Shell pada aplikasi frontend berbasis React. Kerentanan tersebut diklaim belum diperbaiki oleh perusahaan selama beberapa bulan, sehingga membuka peluang bagi peretas untuk menyusup ke dalam sistem.

Memanfaatkan Celah pada Infrastruktur Cloud

Setelah berhasil masuk ke dalam sistem, pelaku disebut memanfaatkan sebuah container tugas pada layanan komputasi container milik Amazon Web Services (AWS). Container tersebut dikenal dengan nama LawfirmsStoreECSTaskRole dan diketahui memiliki akses yang cukup luas ke sejumlah komponen penting infrastruktur digital perusahaan.

Menurut klaim peretas, container tersebut memiliki izin read access atau akses baca ke berbagai sistem utama, di antaranya gudang data produksi Redshift, 17 database dalam Virtual Private Cloud (VPC), layanan penyimpanan kredensial AWS Secrets Manager, serta platform survei digital Qualtrics.

Dengan hak akses tersebut, pelaku dapat mengakses berbagai data sensitif yang tersimpan dalam sistem perusahaan. Hal ini juga memunculkan dugaan adanya kelemahan dalam pengaturan hak akses pada infrastruktur cloud perusahaan.

Kritik terhadap Praktik Keamanan

Dalam unggahannya, FulcrumSec tidak hanya mengklaim berhasil mengambil data, tetapi juga mengkritik praktik keamanan yang diterapkan perusahaan. Salah satu temuan yang disebutkan adalah penggunaan kata sandi utama (master password) untuk RDS yang dinilai sangat lemah.

Menurut peretas tersebut, password master database disetel dengan kombinasi sederhana yaitu “Lexis1234”, yang dianggap tidak memenuhi standar keamanan modern.

Selain itu, pelaku juga menyoroti bahwa hanya satu task role yang memiliki akses baca ke seluruh secret dalam akun AWS perusahaan. Artinya, satu komponen sistem memiliki akses ke berbagai kredensial penting, termasuk kredensial utama database produksi. Kondisi ini dinilai berpotensi meningkatkan risiko jika terjadi kompromi pada komponen tersebut.

Data yang Diduga Berhasil Diambil

FulcrumSec mempublikasikan sejumlah klaim mengenai jenis dan jumlah data yang berhasil diakses atau dicuri dari sistem perusahaan. Berdasarkan pernyataan tersebut, data yang diduga terekspos meliputi:

• 536 tabel dari gudang data Redshift
• Lebih dari 430 tabel dari database VPC
• 53 secret dari AWS Secrets Manager dalam bentuk teks biasa
• Sekitar 3,9 juta rekaman database
• Sekitar 400.000 profil pengguna cloud
• 21.042 akun pelanggan perusahaan
• 45 hash password karyawan
• 118 akun email domain .gov yang diduga ikut terekspos

Profil pengguna cloud yang disebut dalam klaim tersebut berisi informasi seperti nama lengkap, alamat email, nomor telepon, serta jabatan pekerjaan. Dari ratusan ribu profil tersebut, disebutkan terdapat 118 akun dengan alamat email domain pemerintah (.gov).

Email tersebut diduga terkait dengan sejumlah pejabat dan staf lembaga pemerintah Amerika Serikat, termasuk hakim federal, panitera pengadilan federal, pengacara dari United States Department of Justice, serta staf dari U.S. Securities and Exchange Commission.

Infrastruktur Internal Ikut Terekspos

Tidak hanya data pengguna, pelaku juga mengklaim telah memperoleh peta lengkap infrastruktur jaringan Virtual Private Cloud (VPC) milik perusahaan. Selain itu, FulcrumSec mengaku berhasil mengambil dump penuh dari AWS Secrets Manager, yang berisi 53 secret dalam bentuk teks biasa.

Jika klaim tersebut benar, informasi tersebut berpotensi memberikan gambaran detail mengenai arsitektur internal sistem perusahaan, yang dapat dimanfaatkan untuk serangan lanjutan.

Tidak Terkait Kebocoran Data 2024

FulcrumSec menegaskan bahwa insiden ini tidak berkaitan dengan kebocoran data sebelumnya yang terjadi pada Desember 2024. Pada saat itu, pihak tidak berwenang berhasil mencuri data pribadi melalui platform pengembangan perangkat lunak pihak ketiga yang digunakan oleh LexisNexis di GitHub.

Dalam insiden tersebut, data sensitif milik lebih dari 364.000 individu, termasuk nomor Social Security, dilaporkan ikut terekspos.

Kekhawatiran atas Keamanan Data Hukum

Terulangnya klaim kebocoran data terhadap LexisNexis menimbulkan kekhawatiran baru di kalangan pakar keamanan siber. Pasalnya, perusahaan ini dikenal sebagai salah satu penyedia basis data hukum terbesar di dunia yang digunakan oleh firma hukum, lembaga pemerintah, hingga institusi keuangan.

Jika kerentanan keamanan benar-benar terjadi, hal ini dapat berdampak luas terhadap keamanan data sensitif yang berkaitan dengan sistem hukum dan pemerintahan.

Hingga saat ini, belum ada pernyataan resmi yang mengonfirmasi detail klaim tersebut dari pihak perusahaan. Namun, insiden ini kembali mengingatkan pentingnya penerapan praktik keamanan siber yang kuat, terutama dalam pengelolaan infrastruktur cloud dan perlindungan kredensial sistem.