Устаревшие и уязвимые версии WordPress и Drupal могли способствовать взлому Панамских документов

Власти еще не установили хакера, стоящего за взломом Панамских документов , и не определили точный вектор атаки. Ясно, что Mossack Fonseca, панамская юридическая фирма, которая защищала активы богатых и влиятельных людей, создавая подставные компании, использовала опасно свободную политику в отношении веб-безопасности и коммуникаций.

Фирма запускала свои незашифрованные электронные письма через устаревшую (2009 г.) версию Microsoft Outlook Web Access . Устаревшее программное обеспечение с открытым исходным кодом, работающее на интерфейсе веб-сайтов фирмы, также теперь подозревается в том, что оно послужило вектором для взлома.

В первоначальных сообщениях немецкой газете Süddeutsche Zeitung (SZ) анонимный источник предоставил данные с несколькими условиями, заявив, что его / ее жизнь находится в опасности.

«О каком количестве данных мы говорим?» — спросил СЗ.

«Больше, чем все, что вы когда-либо видели», — сказал источник.

Нарушение Панамских документов является крупнейшей утечкой данных в истории с большим отрывом: раскрыто 2,6 терабайт данных, 11,5 миллионов документов и более 214 000 подставных компаний.

Forbes определил устаревшие установки WordPress и Drupal как дыры в безопасности, которые могли привести к утечке данных.

Однако эта информация частично неверна. Просматривая сайт сегодня, я обнаружил, что сайт фирмы на базе WordPress в настоящее время работает на версии 4.1 (выпущенной в декабре 2014 г.), основанной на его версии autosave.js , которая идентична файлу autosave.js, поставляемому в 4.1 . . С тех пор у WordPress было множество критических обновлений безопасности.

Основной сайт также загружает ряд устаревших скриптов и плагинов. Его активной темой является версия Twenty Eleven (1.5) трехлетней давности , которая странным образом находится в каталоге с пометкой /twentyten/.

Файл changelog.txt клиентского портала Mossack Fonseca является общедоступным, что свидетельствует о том, что его установка Drupal не обновлялась в течение трех лет. С момента выпуска версии 7.23 программное обеспечение получило 25 обновлений безопасности , а это означает, что версия, в которой оно работает, включает крайне важные известные уязвимости , которые могли дать хакеру доступ к серверу. Это включает в себя уязвимость SQL-инъекции 2014 года, известную в сообществе Drupal как «Drupalgeddon», которая затронула каждый сайт, использующий Drupal 7.31 или более раннюю версию.

Следователи не подтвердили, использовались ли уязвимости программного обеспечения с открытым исходным кодом для доступа к данным, но это, безусловно, правдоподобно, учитывая серьезность уязвимостей как в старых версиях WordPress, так и в Drupal.

«Кажется, они попали в ловушку временной деформации», — сказал WIRED UK профессор Алан Вудворд, эксперт по компьютерной безопасности из Университета Суррея . «Если бы я был их клиентом, я был бы очень обеспокоен тем, что они общаются с использованием таких устаревших технологий».

Если эти уязвимости программного обеспечения с открытым исходным кодом обеспечили точку доступа для этой масштабной утечки, то глобальное фиаско этой компании можно было полностью предотвратить. Хотя многие люди приветствуют раскрытие фактов коррупции и операций с грязными деньгами известных людей и мировых лидеров, реальность такова, что такого рода подвиги также могут быть осуществлены в отношении организаций, действующих из лучших побуждений, которые существуют для защиты медицинских записей людей, финансовых данных и других данных. конфиденциальная информация.

Эта утечка не является мерой надежности программного обеспечения с открытым исходным кодом, а скорее подчеркивает, насколько низко приоритетны некоторые компании для своих технических отделов и веб-безопасности. С безудержным распространением уязвимостей программного обеспечения в наше время отсутствие обновления программного обеспечения в течение многих лет представляет собой крайнее пренебрежение к клиентам.

Суть в том, что программное обеспечение необходимо обновлять. Этот вид рутинного обслуживания так же важен для бизнеса компании, как чистка зубов или душ для здоровья. Юридические фирмы и компании с таким слабым подходом к безопасности либо невежественны, либо не желают тратить деньги на поддержку технологий, в которых они не до конца разбираются. Панамские документы служат напоминанием о том, что наличие компетентного, квалифицированного технического отдела имеет решающее значение для любой компании, которая имеет дело с конфиденциальной информацией.