Con fecha 28 de julio de 2017, se recibe notificación de la existencia de un incidente de seguridad en el sistema LexNet, firmada por el Subdirector General de Nuevas Tecnologías de la Secretaría General de la Administración de Justicia (en lo sucesivo SGNTJ), en el que se manifestaba:
El incidente afectaba al buzón de correo de los usuarios de LexNet y consistía en que mediante la modificación deliberada de la dirección URL del navegador, cambiando los dígitos de identificación del usuario, se podía acceder a los buzones de otros usuarios. Dicha identificación consta de 10 dígitos, por lo que para acceder a un buzón concreto hay que conocer el identificador asociado a dicho usuario.
En la SGNTJ se tuvo conocimiento del incidente de seguridad el día 27 de julio de 2017 al recibirse aviso de un usuario de LexNet. La brecha aparece en una versión de LexNet puesta en producción el 20 de julio de 2017. La primera acción que se tomo fue verificar que el incidente existía y, a continuación, se resolvió a las 5 horas desde la detección del incidente.
No existen expedientes completos en LexNet, sino notificaciones, que es la información que ha quedado comprometida. El tipo de acceso no autorizado que permite la brecha habilita visualizar el buzón del tercero al que pertenece el identificador, pero no abrir una comunicación que no haya sido previamente abierta por el usuario legítimo.
En relación con los hechos, se habían iniciado investigaciones internas para determinar lo sucedido. En relación a dicha comunicación, con fecha de 28 de julio de 2017, la Directora de la Agencia Española de Protección de Datos acuerda iniciar actuaciones de investigación para que se realice el seguimiento de las consecuencias que dicha brecha haya podido tener y evaluar de las acciones tomadas por los responsables del sistema en el marco de la gestión del incidente.