Panama Papers uitgelekt door knullige beveiliging

Bij nadere analyse door specialisten blijkt dat de hackers niet alles uit de kast hebben hoeven halen: de IT-beveiliging van Mossack Fonseca was van bedroevend niveau. De website van Mossack Fonseca draait op een WordPress-versie van december 2014. Sindsdien zijn meerdere nieuwe versies met updates voor kritieke lekken uitgebracht. De website laadt bovendien verschillende verouderde scripts en plug-ins.

Zijn klantenportal heeft Mossack Fonseca gerealiseerd in Drupal. Die draait nog steeds op versie 7.23; daarvan zijn in de drie jaar dat die nu draait in nieuwe versies 25 beveiligingslekken gedicht. Het klantenportal was daardoor onder andere kwetsbaar voor het SQL-injectielek dat vanwege zijn gevaar bekend staat als Drupalgeddon. Het e-mailsysteem dat Mossack Fonseca gebruikte - Microsofts Outlook Web Access - was al sinds 2009 niet geüpdate. E-mail werd ook niet versleuteld met TLS.

Dr. Daniel Dresner van de Manchester University verklaarde tegenover Wired UK, dat laksheid bij IT-beveiliging niet ongebruikelijk is bij bedrijven in de juridische sector. Maar Mossack Fonseco maakte het volgens hem wel erg bont.