Panama Papers uitgelekt door knullige beveiliging
Bij nadere analyse door specialisten blijkt dat de hackers niet alles uit de kast hebben hoeven halen: de IT-beveiliging van Mossack Fonseca was van bedroevend niveau. De website van Mossack Fonseca draait op een WordPress-versie van december 2014. Sindsdien zijn meerdere nieuwe versies met updates voor kritieke lekken uitgebracht. De website laadt bovendien verschillende verouderde scripts en plug-ins.
Zijn klantenportal heeft Mossack Fonseca gerealiseerd in Drupal. Die draait nog steeds op versie 7.23; daarvan zijn in de drie jaar dat die nu draait in nieuwe versies 25 beveiligingslekken gedicht. Het klantenportal was daardoor onder andere kwetsbaar voor het SQL-injectielek dat vanwege zijn gevaar bekend staat als Drupalgeddon. Het e-mailsysteem dat Mossack Fonseca gebruikte - Microsofts Outlook Web Access - was al sinds 2009 niet geüpdate. E-mail werd ook niet versleuteld met TLS.
Dr. Daniel Dresner van de Manchester University verklaarde tegenover Wired UK, dat laksheid bij IT-beveiliging niet ongebruikelijk is bij bedrijven in de juridische sector. Maar Mossack Fonseco maakte het volgens hem wel erg bont.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee