TAGS
Las autoridades aún no han identificado el hacker detrás del incumplimiento Documentos de Panamá, ni han aislado el vector de ataque exacta. Está claro que Mossack Fonseca, el bufete de abogados de Panamá que protege los activos de los ricos y poderosos mediante la creación de empresas ficticias, había empleado una política peligrosamente suelta a la seguridad web y las comunicaciones. La firma corrió sus mensajes de correo electrónico sin cifrar a través de una (2009) versión obsoleta de la de Microsoft Outlook Web Access. software de código abierto que ha sido superado ejecutar la interfaz de sitios web de la empresa es también ahora se sospecha que han proporcionado un vector de la negociación.
En las comunicaciones iniciales con el diario alemán Süddeutsche Zeitung (SZ), una fuente anónima ofreció los datos con algunas condiciones, diciendo que su / su vida estaba en peligro.
"¿Cómo son muchos datos estamos hablando?", Preguntó el SZ.
"Más que cualquier otra cosa que haya visto nunca", dijo la fuente.
El incumplimiento Documentos de Panamá es el mayor escape de los datos de la historia por un amplio margen, con 2,6 terabytes de datos, 11,5 millones de documentos, y más de 214.000 empresas fantasmas expuestos.
Forbes ha identificado WordPress obsoleta e instalaciones de Drupal como agujeros de seguridad que pueden haber llevado a la pérdida de datos.
Forbes descubrió la firma publicó una versión de tres meses de edad de WordPress para su sitio principal, se sabe que contiene algunas vulnerabilidades. Pero lo más preocupante era que, según los registros de Internet, su portal utilizado por los clientes para acceder a datos sensibles era más probable es que se ejecutan en una versión de tres años de edad, de Drupal, 7,23.
La versión actual de la rama 7.x Drupal es de 7.43. Una versión candidata (Drupal-1.0 RC1) de la rama 8.x está disponible para las pruebas de Drupal.org, en espera de una versión final 20 de abril. - Tierno S. Bah
Esta información es parcialmente incorrecto, sin embargo. Mientras observa el sitio hoy, me encontré con que el sitio impulsado por WordPress de la empresa está ejecutando actualmente en la versión 4.1 (lanzado en diciembre de 2014), en función de su versión de autosave.js, que es idéntico al archivo enviado en autosave.js 4.1 . Desde ese momento WordPress ha tenido numerosas actualizaciones de seguridad críticas.
El sitio principal también está cargando una serie de secuencias de comandos y plugins desactualizados. Su tema activo es una versión de tres años de edad de veinte once (1.5), que reside en un directorio curiosamente etiquetados para / TwentyTen /.
El archivo portal de cliente changelog.txt Mossack Fonseca es pública, lo que demuestra que su instalación de Drupal no ha sido actualizado desde hace tres años. Desde el lanzamiento de la versión 7.23, el software ha recibido 25 actualizaciones de seguridad, lo que significa que la versión que se está ejecutando incluye vulnerabilidades conocidas altamente críticos que podrían haber dado el acceso de hackers al servidor. Esto incluye una vulnerabilidad de inyección SQL 2014 conocido en la comunidad Drupal como "Drupalgeddon", que afectó a todos los sitios de ejecución de Drupal o por debajo de 7,31.
Los investigadores no han confirmado si se utilizaran las vulnerabilidades del software de código abierto para acceder a los datos, pero es ciertamente plausible dada la gravedad de las vulnerabilidades en las versiones anteriores de WordPress y Drupal.
"Parece que han sido atrapados en un túnel del tiempo", el profesor Alan Woodward, un experto en seguridad informática de la Universidad de Surrey, dijo. "Si yo fuera un cliente de ellos estaría muy preocupado de que se estaban comunicando el uso de dicha tecnología anticuada."
Si estas vulnerabilidades de software de código abierto siempre que el punto de acceso para esta fuga masiva, entonces fiasco global de esta empresa era totalmente evitable. Aunque muchas personas dan la bienvenida el destape de la corrupción y las transacciones de dinero sucio de personajes famosos y líderes mundiales, la realidad es que este tipo de explotación también se pueden llevar a cabo en organizaciones bien intencionadas que existen para proteger a los registros de salud de las personas, datos financieros, y otra información sensible.
Esta fuga no es un golpe a la credibilidad de abrir el software de código, sino más bien de relieve cómo baja prioridad algunas empresas dan a sus departamentos de tecnología y seguridad web. Con las vulnerabilidades de software rampantes en esta edad, no actualizar el software desde hace años constituye negligencia absoluta de los clientes.
La conclusión es que el software tiene que ser actualizado. Este tipo de mantenimiento de rutina es tan fundamental para el negocio de una empresa como cepillarse los dientes o ducharse y se para la salud. bufetes de abogados y empresas con un enfoque tan laxa a la seguridad o son ignorantes o no está dispuesto a gastar el dinero para mantener la tecnología que ellos no entienden completamente. Los documentos de Panamá sirven como un recordatorio de que tener un departamento técnico competente, hábil es crítico para cualquier empresa que se ocupa de la información sensible.
Sarah Gooding
.
