Panama Papers uitgelekt door knullige beveiliging

Mossack Fonseca, dat met zijn dienstverlening onder andere klanten op zoek naar schimmige constructies voor belastingontwijking faciliteerde, had zijn IT-beveiliging totaal niet op orde.

De vangst die nog steeds onbekende hackers deden bij Mossack Fonseca is enorm groot. Er lekten 11,5 miljoen vertouwelijke documenten uit die de periode van 1970 tot eind 2015 bestrijken. Daarbij gaat het om 4,8 miljoen e-mails, 3 miljoen databasebestanden, 2,2 miljoen pdf’s, 1,1 miljoen beeldbestanden en 320.00 tekstdocumenten. Deze Panama papers beslaan bij elkaar 2,6 terabyte.  

Bij nadere analyse door specialisten blijkt dat de hackers niet alles uit de kast hebben hoeven halen: de IT-beveiliging van Mossack Fonseca was van bedroevend niveau. De website van Mossack Fonseca draait op een WordPress-versie van december 2014. Sindsdien zijn meerdere nieuwe versies met updates voor kritieke lekken uitgebracht. De website laadt bovendien verschillende verouderde scripts en plug-ins.

Zijn klantenportal heeft Mossack Fonseca gerealiseerd in Drupal. Die draait nog steeds op versie 7.23; daarvan zijn in de drie jaar dat die nu draait in nieuwe versies 25 beveiligingslekken gedicht. Het klantenportal was daardoor onder andere kwetsbaar voor het SQL-injectielek dat vanwege zijn gevaar bekend staat als Drupalgeddon. Het e-mailsysteem dat Mossack Fonseca gebruikte – Microsofts Outlook Web Access – was al sinds 2009 niet geüpdate. E-mail werd ook niet versleuteld met TLS.

Dr. Daniel Dresner van de Manchester University verklaarde tegenover Wired UK, dat laksheid bij IT-beveiliging niet ongebruikelijk is bij bedrijven in de juridische sector. Maar Mossack Fonseco maakte het volgens hem wel erg bont.


Source: Automatoserings nieuws