Panama Papers: Firma Mossack Fonseca nie zadbała o bezpieczeństwo swojej strony. To mogło umożliwić atak

11-04-2016, 11:03

Firma Mossack Fonseca będąc w centrum wycieku Panama Papers stosowała starą i podatną na atak wersję Drupala. Używała też nieaktualnych wtyczek do WordPressa, które mogły ułatwić atak kończący się wyciekiem wszech czasów.

Tydzień temu pisaliśmy o Panama Papers - kolejnym wycieku wszech czasów. Ujawniono 11,5 mln dokumentów z firmy prawniczo-podatkowej Mossack Fonseca. Ta firma z Panamy oferowała usługi "optymalizacji podatkowej" poprzez tworzenie spółek lub zakładanie kont w egzotycznych krajach zapewniających zwolnienia z podatków. W wyniku wycieku danych z tej firmy w kilku krajach uruchomiono dochodzenia dotyczące możliwych naruszeń. Więcej o wycieku pisaliśmy w tekście pt. Panama Papers - kolejny wyciek wszech czasów. Co ujawniono? Kto za tym stoi?

Atakowi dało się zapobiec

Gdy tylko świat ujrzał wyciek, eksperci od bezpieczeństwa zadali sobie jedno pytanie. Czy ktoś wyniósł dokumenty z Mossack Fonseca czy też dokumenty wykradziono lub wyniesiono? A może firma padła ofiarą ataku komputerowego? Odpowiedź na to pytanie była znana już od kilku dni. Panamska firma ujawniła, że była ofiarą ataku, a jej współzałożyciel Ramon Fonseca narzekał, że przy okazji wycieków nikt nie powiedział: "Hej! Popełniono tu przestępstwo" (pisała o tym BBC). 

Również Forbes donosił o ataku komputerowym i w dodatku sugerował, że temu atakowi dało się zapobiec. Gazeta ustaliła, że strona firmy Mossack Fonseca bazowała na oprogramowaniu WordPress wydanym przez trzema miesiącami, o którym wiedziano, że zawierało luki. Co więcej, strona wykorzystywana przez klientów w celu uzyskiwania wrażliwych danych prawdopodobnie działała w oparciu o wersję Drupala sprzed trzech lat. Sami twórcy Drupala ostrzegali przed stosowaniem tej wersji już w 2014 roku,

Kolejne ciekawe informacje na temat ataku opublikowano na blogu WordFence - dostawcy wtyczki zabezpieczającej strony bazujące na oprogramowaniu WordPress.

Po wtyczce do kłębka

7 kwietnia WordFence poinformował, że włamanie do Mossack Fonseca prawdopodobnie było możliwe dzięki dziurawej wersji wtyczki Revolution Slider. Firma Mossack Fonseca na swojej stronie korzystała z wtyczki w wersji 2.1.7, tymczasem na atak podatne są wszystkie wersje do 3.0.95. Co więcej, serwer pocztowy Mossack Fonseca znajdował się w tej samej sieci co serwer ze stroną. 

Zdaniem WordFence atak na stronę był "trywialnie prosty", ale co przyszłoby atakującym z uzyskania dostępu do strony? WordFence sugeruje, że dzięki temu atakujący mogli uzyskać dostęp do pliku wp-config.php, a tam z kolei mogły się znaleźć dane uwierzytelniające dające dostęp do poczty. 

W ubiegły piątek na blogu WordFence pojawił się kolejny artykuł o ataku przez Revolution Slider. Eksperci WordFence zauważyli, że strona Mossack Fonseca wykorzystywała wtyczkę WP SMTP umożliwiającą wysyłanie e-maili ze strony przez serwer pocztowy. Ta wtyczka przechowuje adres serwera pocztowego i dane do logowania w bazie danych WordpRess, w postaci zwykłego tekstu. 

Ponadto Mossack Fonseca korzystała z wtyczki ALO EasyMail Newsletter. Ta wtyczka odbiera odbite e-maile z serwera pocztowego i automatycznie usuwa adresy z listy subskrypcji. W tym celu wtyczka musi odczytywać pocztę z serwera pocztowego i również przechowuje ona dane do logowania w bazie danych WordPress, w postaci zwykłego tekstu. Skoro atakujący uzyskał dostęp do strony przez Revolution Slider to dzięki dwóm kolejnym wtyczkommógł pozyskać informacje dające dostęp do poczty.

Dodajmy, że wśród ujawnionych dokumentów z Mossack Fonseca było szczególnie dużo e-maili - 4,8 mln.

Kancelarie powinny uważać

Wyciek z kancelarii Mossack Fonseca powinien dać do myślenia takim firmom jak choćby kancelarie prawne. Nie jest to przecież pierwszy raz, kiedy firma tego typu jest kompromitowana przez wyciek. Czytelnicy Dziennika Internautów powinni dobrze pamiętać wyciek z kancelarii ACS Law, który ujawnił tę mroczną stronę copyright trollingu

Oczywiście prawnicy czy doradcy podatkowi nie muszą ukrywać samych nadużyć. Te firmy zajmują się sprawami, które po prostu wymagają zachowania tajemnicy. Problem w tym, że dobry prawnik czy doradca podatkowy nie ma czasu na bycie jednocześnie specjalistą od bezpieczeństwa komputerowego. Kwestie odpowiednich zabezpieczeń są zrzucane na inne firmy lub pracowników, którzy czasami nie czują ciężaru odpowiedzialności i mogą iść na skróty. 

Warto w tym kontekście przypomnieć, że Generalny Inspektor Ochrony Danych zapowiedział przeprowadzenie kontroli kancelarii prawnych w roku 2016. GIODO chce w szczególności wiedzieć jak te firmy radzą sobie z zabezpieczaniem danych osobowych klientów oraz przetwarzaniem danych osobowych na mocy powierzenia lub outsourcigu. Teraz wszyscy widzimy, że pomysł przeprowadzenia takich kontroli odpowiada wyzwaniom, jakie stawia przed prawnikami przetwarzanie wrażliwych informacji w systemach informatycznych. 


  
znajdź w serwisie

RSS  


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Luty 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728